Weer lek gevonden OpenSSL

By | 6 juni 2014

Er is wederom een lek gevonden in de veelgebruikte OpenSSL, na het heartbleed debakel van onlangs blijkt dezelfde programmeur verantwoordelijk te zijn voor een nieuw lek met grote risico's. Door het recent gevonden lek is het mogelijk om als de client en server bepaalde versies hebben een zgn. man-in-the-middle attack uit te voeren. Het gaat overigens om twee kwetsbaarheden die zijn aangetroffen waarvan een zit in DTLS wat standaard in de meeste gevallen niet gebruikt wordt. De andere kwetsbaarheid zit in een 15 jaar oude programmeerfout waarbij als data in een afwijkende volgorde verstuurd wordt gegevens kunnen worden onderschept.

Beide kwetsbaarheden hebben niet de impact van de vorige maar zijn serieus genoeg om de in veel gevallen al beschikbare updates voor OpenSSL te installeren. Dit is uiteraard ook gebeurd op onze servers.