Heartbleed bug: Beveiligingslek in OpenSSL ontdekt

IN de laatste versie van OpenSSL (1.0.1) is op 8 april 2014 een beveiligingslek ontdekt, waarbij het voor de aanvaller mogelijk is om in het bezit te komen van versleutelde informatie en de private key - welke wordt gebruikt voor de versleuteling. OpenSSL wordt voornamelijk gebruikt op Linux servers in combinatie met bijvoorbeeld Apache (webserver software). Hierdoor zijn een groot aantal webservers kwetsbaar.

 

Er zit een fout in de OpenSSL implementatie van de TLDS/DTLS heartbeat extensie (RFC6520) van OpenSSL. Door misbruik te maken van dit lek is het voor een aanvaller mogelijk om geheugen van een server te lezen. De fout is geïntroduceerd in OpenSSL in december 2011. Hierdoor zijn bijna alle recente Linux versies en distributies kwetsbaar.

 

Welke versies zijn kwetsbaar?

Alle 1.0.1 versies tot en met 1.0.1f van OpenSSL zijn kwetsbaar. De versie 1.0.1g (de laatste) van OpenSSL lost dit probleem op. Eerdere versies van OpenSSL (waaronder 0.9.8 en 1.0.0) zijn niet kwetsbaar.

Mogelijke kan software die is gebaseerd op OpenSSL kwetsbaar zijn.

 

Wat moet ik doen als ik OpenSSL gebruik?

Laat bij twijfel ons de check doen of er een Heartbleed Bug is.

Neem hiervoor contact op.