Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties

Het projectteam achter OpenSSL komt deze week met een patch voor twee kwetsbaarheden, waaronder een in de categorie 'hoog' als het gaat om de ernst van het lek. Dit is een niveau onder 'kritiek'. Het is nog niet duidelijk om welke kwetsbaarheden het precies gaat.

SSL slot (fpa)De versies die de kwetsbaarheden moeten opheffen zijn 1.0.2f en 1.0.1r, deze komen donderdag beschikbaar. Er zijn geen aanvullende details bekend, enkel dat het gaat om twee kwetsbaarheden met de inschatting 'hoog' en 'laag'. OpenSSL hanteert vier niveaus om de ernst van een kwetsbaarheid in te schatten, waarbij 'laag' het laagste niveau is en 'kritiek' het hoogste niveau. Het wordt dan ook aangeraden om een update uit te voeren, als de patch beschikbaar is.

OpenSSL kwam in april 2014 in het nieuws vanwege de kritieke Heartbleed-bug, die het mogelijk maakte om het interne geheugen van een webserver uit te lezen. Vaak hebben kwetsbaarheden in OpenSSL grote impact. De software komt bijvoorbeeld voor op meer dan 98 procent van alle Debian-machines, dit is een Linux-versie die populair is voor gebruik op servers. Deze gebruiken OpenSSL voor het aanbieden van beveiligde ssl- en tls-verbindingen. Google gebruikt sinds 2014 een fork van de software, genaamd BoringSSL.

Moderatie-faq Wijzig weergave

Reacties (24)

BoringSSL ja, noem dan ook maar LibreSSL als het je, bij zoiets belangrijks, echt om veiligheid gaat.
LibreSSL was al eerder, ook dus, gestart n.a.v heartbleed.

On 5 June 2014, several OpenSSL bugs became public. While several projects were notified in advance,[14] LibreSSL was not; Theo de Raadt accused the OpenSSL developers of intentionally withholding this information from OpenBSD and LibreSSL.[15]

On 20 June 2014, Google created another fork of OpenSSL called BoringSSL, and promised to exchange fixes with LibreSSL.[16][17] Google has already relicensed some of its contributions under the ISC license, as it was requested by the LibreSSL developers.[16][18] On 21 June, Theo de Raadt welcomed BoringSSL and outlined the plans for LibreSSL-portable.[19] Starting on 8 July, code porting for OS X and Solaris began,[20] while initial porting to Linux began on 20 June.[21]
]

https://en.wikipedia.org/wiki/LibreSSL
Tja, dan word de vraag natuurlijk: waarom staat OpenBSD niet meer op "private vendor list". En moeten we verwachten dat een fork van een project betrokken word bij het testen op regressies wanneer er patches uitkomen die beveiligingsproblemen oplossen? Hoe ver kan dat dan gaan voordat de informatie die je tijdelijk in een zo beperkt mogelijke groep wenst te houden helemaal buiten je controle valt?
Wat bedoel je met "private vendor list"?

Ik weet ook niet wat je wil zeggen met "testen op regressies". Maar LibreSSL en OpenSSL devs werken samen in situaties zoals deze (als dat nodig is).
Alleen op Debian 98% ? En wat doet RHEL/Centos,BSD, etc etc dan ?

Beetje lame reactie tegen Debian.

* RutgerM is overigens Ubuntu en CentOS fan ;)
Daarnaast is de kritieke bug gevonden in de 1.0.2 versie van OpenSSL, de stable van Debian zit op 1.0.1k. Dus wat dat betreft is het niet eens relevant, tenzij je testing of unstable op je server draait. Maar dat zou ik niemand aanraden.
Daarnaast is de kritieke bug gevonden in de 1.0.2 versie van OpenSSL, de stable van Debian zit op 1.0.1k. Dus wat dat betreft is het niet eens relevant, tenzij je testing of unstable op je server draait. Maar dat zou ik niemand aanraden.
Dit is ook een bug in 1.0.1 zoals in de post staat, of 1.0.1k deze bug ook heeft?

[Reactie gewijzigd door worldcitizen op 26 januari 2016 10:37]

Volgens de link in het artikel schrijft OpenSSL zelf hetvolgende:
They will fix two security defects, one of "high" severity affecting
1.0.2 releases, and one "low" severity affecting all releases.
https://mta.openssl.org/p.../2016-January/000058.html
Volgens de link in het artikel schrijft OpenSSL zelf hetvolgende:


[...]


https://mta.openssl.org/p.../2016-January/000058.html
OK duidelijk.

Lijkt me dat Tweakers de post aan moet passen.
Want 98% van de Debian Servers hebben geen last van de "hoge" kwetsbaarheid.
Dat wordt ook helemaal niet gezegd
Vaak hebben kwetsbaarheden in OpenSSL grote impact. De software komt bijvoorbeeld voor op meer dan 98 procent van alle Debian-machines
Er wordt gezegd dat OpenSSL voorkomt op 98% van de debian installaties. Het gaat dus niet om de bug maar over de software die ergens voorkomt.
Dat wordt ook helemaal niet gezegd


[...]


Er wordt gezegd dat OpenSSL voorkomt op 98% van de debian installaties. Het gaat dus niet om de bug maar over de software die ergens voorkomt.
Klopt, maar veel mensen lezen het anders. Het is de taak van een technologie website om duidelijk te zijn. Of willen ze liever op de Telegraaf of roddelbladen lijken?
Alleen op Debian 98% ? En wat doet RHEL/Centos,BSD, etc etc dan ?
Dat lijkt me inderdaad een vergissing van de auteur. OpenSSL is aanwezig op vrijwel alle Linux- & BSD-varianten. Ik ben niet bekend genoeg met MacOS om het zeker te zeggen maar het kan haast niet anders dan dat het daar ook veel gebruikt wordt. Windows zelf gebruikt het niet maar er is wel een hoop software voor Windows die het wel aan boord heeft.

Ik zou durven stellen dat alle computers op aarde last hebben van deze bug. De paar systemen die zelf geen OpenSSL aan boord hebben die hebben wel last van hun buren ;) Waarschijnlijk is het alleen een probleem voor computers die netwerkdiensten aanbieden maar dat weten we pas zeker als de bug wordt gepubliceerd
Of het nu waar is of niet, voorlopig kun je er maar beter van uit gaan dat alle systemen onder je beheer een patch nodig hebben. Al is het maar omdat je waarschijnlijk niet precies weet welke software er gebruik maakt van OpenSSL en welke niet.

[Reactie gewijzigd door CAPSLOCK2000 op 26 januari 2016 10:33]

MacOS X gebruikt zelf geen OpenSSL (de default library is SecureTransport) maar het wordt wel veel gebruikt door applicaties die multiplatform of geport zijn van *BSD/Linux dus kun je het alsnog veel tegenkomen.

[Reactie gewijzigd door Maurits van Baerle op 26 januari 2016 10:33]

Volgens mij word openssl wel meegeleverd door Apple.

% uname -a
Darwin NAME 15.3.0 Darwin Kernel Version 15.3.0: Thu Dec 10 18:40:58 PST 2015; root:xnu-3248.30.4~1/RELEASE_X86_64 x86_64

% which openssl
/usr/bin/openssl

% openssl version
OpenSSL 0.9.8zg 14 July 2015


Ik heb wel wat package managers geinstalleerd, maar volgens mij installeert geen van allen in /usr/bin
Hij wordt sowieso niet standaard gebruikt (dat weten we nog van de GoToFail en Heartbleed problemen, de eerste raakte alléén OS X, de tweede raakte OS X juist niet). Je komt OpenSSL inderdaad wel vaak tegen en als je bijvoorbeeld MacPorts of XCode hebt geinstalleerd zul je hem sowieso krijgen.

Of hij tegenwoordig nog met een kale installatie meegeleverd wordt weet ik niet, misschien wel vanwege portabiliteit, misschien niet vanwege security. Ik het hier niet testen omdat ik al ontwikkelomgevingen heb geinstalleerd.
Ah hij zal inderdaad met XCode meegekomen zijn.
% which openssl
/usr/bin/openssl

Ik heb wel wat package managers geinstalleerd, maar volgens mij installeert geen van allen in /usr/bin
Bij Debian, openSUSE, Centos, FreeBSD etc wordt openssl ook in /usr/bin geïnstalleerd.
Daar is niets mis mee, het is uiteindelijk een user programma.

[Reactie gewijzigd door worldcitizen op 26 januari 2016 14:14]

Dat hij in /usr/bin staat is geen enkel probleem. Wat ik me afvroeg is of openssl mee komt met een vanilla Mac OS X installatie, of dat deze er later bij is gekomen.

Geen van mijn package managers installeert in /usr/bin, dus die zijn het niet geweest. Maar zoals Maurits al aangaf, komt OpenSSL waarschijnlijk mee met XCode.
Ja en dan aanpassen zonder "update", zwakke actie weer.
Op CentOS komt het ook best veel voor ja. Eigenlijk vrijwel elke distributie.
Debian, Ubuntu, CentOS. Ik gebruik ze allemaal, en allen hebben ze zo hun zwaktes en sterktes. Het lijkt erop dat iemand Debian een beetje haat door dit zo te noemen ;)
Die andere distros gebruiken andere versies wellicht in hun stable releases?
Waarschijnlijk staat dit er op deze manier omdat van debian wel betrouwbare getallen te vinden zijn?
Ik zie hierin overigens geen enkel waardeoordeel voor of tegen debian, maar een constatering, namelijk dat openssl op heel veel servers gebruikt word.
Ik heb dit erin gezet als een illustratie voor het feit dat OpenSSL wijd verspreid is, niet als aanval op Debian. Dus heb 'namelijk' naar 'bijvoorbeeld' gewijzigd om dat te verduidelijken. thx!
De software komt namelijk voor op meer dan 98 procent van alle Debian-machines, dit is een Linux-versie die populair is voor gebruik op servers
Debian machines? Zover ik weet is OpenSSL niet Debian gerelateerd, dus waarom staat dat er zo?

EDIT: al meerdere mensen opgevallen dus :) en waarom het nu weer offtopic is....schiet mij maar weer lek hoor

[Reactie gewijzigd door Yzord op 26 januari 2016 10:56]

Vraag is of BoringSSL hier ook voor vatbaar gaat zijn natuurlijk, wij van Google kunnen alles beter dus ... :9

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True