Het OpenSSL-team heeft een update aangekondigd die een “kritisch” beveiligingsprobleem oplost. Wat het probleem precies is is nog onbekend, maar het OpenSSL-beveiligingsbeleid beschrijft kritisch als iets wat ‘bij standaardconfiguraties voorkomt’ en ‘waarschijnlijk exploitabel’ is.
Aankondiging van de update.
OpenSSL is een open source softwarebibliotheek, waarmee versleutelde verbindingen opgezet kunnen worden. Het is een van de meest gebruikte ssl-implementaties, en wordt onder andere door veel webservers gebruikt (https). Een kwetsbaarheid, vooral van kritische ernst, kan dus best veel gevolgen hebben.
Volgens het Nationaal Cyber Security Centrum is het probleem niet aanwezig bij oudere OpenSSL-versies (< 3.0). Het is nog niet duidelijk of alle 3.0.x-versies kwetsbaar zijn, of alleen de meest recente (3.0.5). Het NCSC houdt op Github een lijst bij met wel en niet getroffen software.
We hoeven niet lang in angst te leven gelukkig: de nieuwe versie van OpenSSL (3.0.7) wordt morgen al uitgebracht. Nou maar hopen dat softwareontwikkelaars, en daarna de serverbeheerders, de patch snel doorvoeren.
Bronnen: OpenSSL, Nationaal Cyber Security Centrum
