Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Patches voor OpenSSL-lek buiten Microsoft om

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 11 april 2014 10:01 uur

Diverse leveranciers van operating systemen en serversystemen werken aan patches om het gat in de SSL-beveiliging te dichten. IceWarp, leverancier van messaging systemen voor e-mail, chat en sms-verkeer, stelt een 32bits en een 64bits-patch ook beschikbaar aan Microsoft-klanten.


Maandag maakte onder meer Google bekend dat via een OpenSSL-lek hackers encryptiesleutels kunnen overnemen. Het lek is gevonden in OpenSSL, versie 1.0.1 tot en met 1.0.1f.  Op verschillende sites werd gemeld dat dit een ernstig lek is, vooral omdat een hacker geen sporen achterlaat als hij via het gat in OpenSSL stukjes geheugen uitleest en daarmee encryptiegegevens kan bemachtigen. Des te groter is de verwondering dat Microsoft nog geen patch heeft uitgebracht om dit probleem op te lossen.

Het lek waarmee berichtenverkeer dus kan worden afgeluisterd, heeft een forse impact. Onder meer Facebook en diverse Google-services waaronder Gmail en YouTube zijn geraakt, maar ook AWS en Dropbox gebruikten een kwetsbare versie van OpenSSL.

Verschillende aanbieders werken inmiddels aan een oplossing, waaronder ook RedHat, SuSe en Ubuntu. Het probleem is ook opgelost als bedrijven, zoals hosters, systemen updaten naar OpenSSL 1.0.1g. Die versie is wel veilig. Een waarschuwing is dan wel op zijn plaats: als een hacker al sleutels heeft verkregen via het gat, dan blijven die gegevens bruikbaar – ook nadat het lek is gedicht met een patch, zoals IceWarp die nu ter beschikking stelt. Om dat te verhelpen, moet een eigenaar van een website zelf de certificaten wijzigen waarmee de oude encryptie niet meer gebruikt kan worden.

Marco, 15 april 2014 12:56 pm

Waarom is het verwonderlijk dat Microsoft nog geen patch heeft uitgebracht? Microsoft gebruikt nergens OpenSSL?!? De TLS implementatie in Windows is SChannel wat een eigen implementatie is van Microsoft en welke notabene de betreffende extensie welke de bug bevatte niet eens ondersteund. Dat IceWarp wel een patch uitbrengt, ook voor Windows, zegt helemaal niks. Blijkbaar gebruiken zij wel OpenSSL in hun server software maar dat wil nog niet zeggen dat Microsoft iets moet patchen.

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.