OpenSSL kondigt update aan voor kritiek beveiligingslek

OpenSSL brengt op 1 november een patch uit om een kritiek beveiligingslek te dichten. Aangezien het om een kritieke kwetsbaarheid gaat, zijn er geen verdere details bekendgemaakt door de organisatie.

OpenSSL is een van de meestgebruikte opensourcebibliotheken voor cryptografie, waardoor een kritieke kwetsbaarheid erg gevaarlijk kan zijn. Het gebeurt vaker dat er een beveiligingslek wordt gevonden in OpenSSL, maar het gebeurt niet vaak dat deze van het hoogste risiconiveau is. OpenSSL schrijft dat de update dinsdagmiddag beschikbaar komt.

De kwetsbaarheid zit in versie 3.0 van OpenSSL en moet worden verholpen met de release van 3.0.7. In zijn securitybeleid schrijft OpenSSL dat informatie over kritieke beveiligingslekken niet wordt gedeeld. Via dit soort kwetsbaarheden is het bijvoorbeeld mogelijk om servers binnen te dringen en over te nemen of onderschepte communicatie te ontsleutelen.

Door Robert Zomers

Redacteur

Feedback • 25-10-2022 18:08 50

25-10-2022 • 18:08

50

Lees meer

DigiCert trekt meer dan 80.000 certificaten in na DNS-validatiefout
DigiCert trekt meer dan 80.000 certificaten in na DNS-validatiefout Nieuws van 1 augustus 2024
Ondersteuning van OpenSSL 1.1.1 is afgelopen
Ondersteuning van OpenSSL 1.1.1 is afgelopen Nieuws van 11 september 2023
Digital Trust Center waarschuwt voor naderend einde van OpenSSL 1.1.1
Digital Trust Center waarschuwt voor naderend einde van OpenSSL 1.1.1 Nieuws van 9 augustus 2023
OpenSSL patcht ernstige bufferoverflow-kwetsbaarheid
OpenSSL patcht ernstige bufferoverflow-kwetsbaarheid Nieuws van 1 november 2022
Let's Encrypt trekt onlangs uitgegeven ALPN-certificaten in
Let's Encrypt trekt onlangs uitgegeven ALPN-certificaten in Nieuws van 26 januari 2022
Let's Encrypt trekt slechts klein deel certificaten in na bug
Let's Encrypt trekt slechts klein deel certificaten in na bug Nieuws van 5 maart 2020
Release OpenSSL 3.0 is uitgesteld tot oktober volgend jaar
Release OpenSSL 3.0 is uitgesteld tot oktober volgend jaar Nieuws van 8 november 2019
CA/Browser Forum wil levensduur van ssl-certificaten verlagen naar 13 maanden
CA/Browser Forum wil levensduur van ssl-certificaten verlagen naar 13 maanden Nieuws van 19 augustus 2019
Meer producten en artikelen
Beveiliging en antivirus Ssl Ssl certificaat

Reacties (50)

-Moderatie-faq
50
50
24
3
0
15
Wijzig sortering

Sorteer op:

Weergave:
MiesvanderLippe 25 oktober 2022 18:09
Wat een hoop gedoe! Exploitable in de default (of Debian) config?
gertvdijk @MiesvanderLippe25 oktober 2022 18:22
Wat een hoop gedoe!
Nou, nog niet heel veel Linux-distributies populair voor servers zijn al over op 3.0.x.

Laatste Debian stable versie Bullseye (11) zit nog op 1.1.1. Debian testing Bookworm wel op 3.0.5.

Laatste Ubuntu LTS versie Jammy (22.04) zit op 3.0.2 en is dus wel affected, maar nog-supported 18.04 en 20.04 beide niet.

AlmaLinux 8.x zit nog op 1.1.1.
AlmaLinux 9.0 zit ook al wel op 3.0.1.

[Reactie gewijzigd door gertvdijk op 22 juli 2024 22:03]

Verwijderd @MiesvanderLippe25 oktober 2022 18:17
Aangezien er geen info over het lek is gedeeld waarschijnlijk niet in de configuratie op te lossen. Anders hadden ze nu de config settings gegeven die veilig/onveilig waren.
Johan1995 @Verwijderd26 oktober 2022 00:49
Het is toch open source? Je kan zelf de code checken en vaststellen waar het probleem zit! 8)7
Pep7777 @Johan199526 oktober 2022 07:34
Was het maar zo eenvoudig. Er staan geen links in de code die zeggen hier zit een foutje.
Het zijn vaak heel subtiele bugs (zeker als er meerdere threads tegelijk actief zijn). Of het zijn zelfs foutjes in de specificatie een complex protocol (en dan zie je de bug nog minder snel).
mjtdevries @Pep777726 oktober 2022 09:36
Je hebt uiteraard gelijk, maar de opmerking van Johan1995 was natuurlijk ironisch/sarcastisch bedoeld.

Voorstanders van open source hebben in het verleden massaal geroepen dat het grote voordeel is dat je in de code kunt kijken en daardoor zelf beveiligings issues kunt opsporen.

Voor velen was duidelijk dat dat een onzinnig argument is, maar het bleef massaal geroepen worden.

[Reactie gewijzigd door mjtdevries op 22 juli 2024 22:03]

Deleon78 @mjtdevries26 oktober 2022 09:41
Ik denk dat je het argument verkeerd hebt begrepen. Het gaat over vrijheid, niet over dat “iedereen maar even bugs kan vinden”.
En ja, er zijn mensen die het letterlijk zijn gaan roepen.
mjtdevries @Deleon7826 oktober 2022 10:29
Ik heb het argument prima begrepen. Het zijn de mensen die dat riepen die het niet begrepen.

Er zijn een heleboel mensen die op basis van onzinnige argumenten voor open source zijn.
Dat betekent natuurlijk helemaal niet dat er geen goede argumenten voor open source zijn. Dat suggereer ik ook nergens.
Deleon78 @mjtdevries26 oktober 2022 11:02
Alright, eens! :)
casberrypi @mjtdevries27 oktober 2022 07:02
Waarom denk je dat dit niet waar is?

Ik heb regelmatig bugs in software projecten opgelost waar ik niet de developer van was, maar gebruiker.

Dit issue in OpenSSL is waarschijnlijk opgelost binnen een jaar nadat het is gereleased, maar eigenlijk vrij kort nadat het op grote schaal gebruikt is gaan worden.
D0phoofd @Johan199526 oktober 2022 09:28
Ja zeker! Als je hooggeleerd bent in wiskunde + expert in cryptografie EN in C kan programmeren, dan kan je daar je tijd nuttig aan spenderen.
likewise @D0phoofd27 oktober 2022 02:21
Dan moet je wel feilloos in C kunnen programmeren, zonder exploits te creëren. Dat laatste lijkt nog het lastigste vaak, de crypto theorie zit vaak wel goed.
bazzi 25 oktober 2022 22:09
Ok als ik het zo lees alleen 3.0.x en niet 1.1.1, want die is nog wel in support, maar de update is niet aangekondigd… of mis ik het nu?
The previous LTS version (the 1.1.1 series) is also available and is supported until 11th September 2023. All older versions (including 1.1.0, 1.0.2, 1.0.0 and 0.9.8) are now out of support and should not be used.
Stephan1992 @bazzi26 oktober 2022 08:20
CVE 2022-1292
Fixed in OpenSSL 3.0.3 (Affected 3.0.0,3.0.1,3.0.2). Fixed in OpenSSL 1.1.1o (Affected 1.1.1-1.1.1n). Fixed in OpenSSL 1.0.2ze (Affected 1.0.2-1.0.2zd).

Zoals je kan zien is 1.1.1 wel affected tot en met 1.1.1n.
bazzi @Stephan199226 oktober 2022 08:27
Maar is het die cve wel? Want die was ook gefixed al in 3.0.3. Mijn vermoeden is dat het wat nieuws is, anders hoeft de embargo niet, want er is al een POC

UPDATE:
Iemand van openssl (en redhat) meld dat de cve wordt gepubliceerd op 1 nov en alleen in 3.0+ zit:
https://mobile.twitter.com/__agwa/status/1584916997472751618
Zie Mark J Cox antwoord. (Sorry ben geen twitter gebruiker, dus als ik de link kopieer zie ik wat anders dan alleen het antwoord wat ik wil tonen |:( :z )

Ok en dan is 1.1.1s ook announced. Wordt alleen niks over "The highest severity issue
fixed in this release is CRITICAL" gemeld zoals bij 3.0.7:
https://mta.openssl.org/p.../2022-October/000238.html

[Reactie gewijzigd door bazzi op 22 juli 2024 22:03]

Muncher @bazzi26 oktober 2022 12:18
Lang leven nitter.

https://nitter.it/__agwa/status/1584916997472751618#m
ScharlakenRood @Stephan199226 oktober 2022 16:50
https://nvd.nist.gov/vuln/detail/CVE-2022-3358
Verwijderd 25 oktober 2022 18:12
Over een week pas. 😓
Daar gaan mensen zenuwachtig van worden vrees ik.
johnny2000 @Verwijderd25 oktober 2022 18:24
Zo werkt dat ... Onder embargo. Dit geeft iedereen (bijv. Red Hat en Ubuntu) de tijd om updates klaar te hebben voor de publicatie
Blokker_1999
@johnny200025 oktober 2022 18:47
Kans is groot dat vele projecten ook pas op dinsdag de code zullen krijgen van OpenSSL. Hoe meer mensen je toegang geeft, hij groter de kans dat er alsnog vroegtijdig informatie naar buiten komt.

Door nu aan te kondigen dat dit over een week wordt vrijgegeven kan iedereen in de keten zich voorbereiden om dinsdag zo snel mogelijk aan het patchen te gaan.
Johan1995 @Blokker_199926 oktober 2022 00:47
Ik dacht dat opensource en informatie delen een groot voordeel waren, maar blijkbaar is het net hoe de wind staat... :'(
TD-er @Johan199526 oktober 2022 01:50
Het is altijd een afweging tussen hoe snel je de "bad guys" op de hoogte wilt stellen en hoe snel je je patches getest en operationeel wilt hebben.

Ik kan mij niet herinneren dat er ooit eerder een dergelijke aankondiging geweest is van een aankomende patch die een week van tevoren werd aangekondigd.
Oftewel dit klinkt als een potentieel relatief makkelijk te exploiten bug en dan moet je dus ervoor zorgen dat je de boel ASAP kunt patchen voordat het voor de bad guys duidelijk is hoe dit te exploiten is.


Daarnaast slaat je opmerking op nog wel meer fronten de plank behoorlijk mis.
Als voorbeeld; Ik schrijf ook OpenSource software en ben extreem open in wat ik doe, waarom ik het doe, etc.
Maar zo heb ik ook code op mijn PC staan die uiteindelijk zeker wel in de openbaarheid zal komen alleen nu nog even niet.
Dit om de simpele reden dat ik het gewoon zelf eerst wel wil testen, omdat als mensen het zomaar zouden gaan testen zonder achtergrondinfo, dat ze erg veel schade kunnen aanrichten op hun eigen systemen.
Je zou kunnen aanvoeren dat "anderen mee kunnen testen" en op die manier alles zo snel mogelijk gedeeld gaat worden. Maar soms is het gewoonweg beter om er nog even mee te wachten alvorens het openbaar te maken.
In mijn geval (zeer concreet voorbeeld) gaat het om code waarbij ikzelf al een ESP boardje vrijwel onbruikbaar heb gemaakt en wat erg lastig weer werkende te krijgen is. Als ik een willekeurig iemand vraag ook die code te testen, gaat er dus serieus wat mis.

In het geval van de OpenSSL bug van dit artikel speelt er dus veel meer mee.
Daarbij wil je jezelf tijd geven om patches te testen en uit te rollen zodat wanneer de bug openbaar gemaakt zal worden, je tijd hebt om de boel te patchen voordat de aanvallen beginnen.
ejabberd @TD-er26 oktober 2022 19:18
Ik kan mij niet herinneren dat er ooit eerder een dergelijke aankondiging geweest is van een aankomende patch die een week van tevoren werd aangekondigd.
Een week op voorhand weet ik niet, maar ik kan me wel meerdere keren herinneren dat het Drupal project me op voorhand via een security advisory aanmaande om me schrap te zetten. Voorbeeld.
Verwijderd @johnny200025 oktober 2022 18:26
Partijen als redhat en debian compileren het in een paar uur. Dus dat lijkt me niet het issue. Maar als het ook naar embeds devices moet door rollen; dan kan het inderdaad wel wat meer tijd kosten.
johnny2000 @Verwijderd25 oktober 2022 19:27
Gelukkig ben jij geen software bedrijf ... Groot deel is Q/A en vaak doet Redhat backports van patches ... Wat nog meer testen inhoudt.
latka @johnny200026 oktober 2022 00:57
Als het een oneliner is en het remote exploitable is (beide niet onwaarschijnlijk met het trackrecord van openssl) zou ik een langdurig testtraject overslaan als ik daarmee binnen een paar uur ipv. een paar dagen kan releasen.
mocean @latka26 oktober 2022 08:33
Het punt met OpenSSL testen/bugs is: als je iets niet goed fixt&test kan je ook het toekomstige updateproces slopen (bijv. als er certificaten onterecht afgekeurd worden, o.i.d.).
latka @mocean26 oktober 2022 12:14
Tsja, dat is de afweging: een paar dagen exploitable (en ga er maar vanuit dat als er dinsdag een release is, er dinsdagavond een reverse engineering gedaan is voor een exploit en wellicht een kant en klaar script) of potentieel later een probleem. Het is een beetje kiezen tussen: zeker weten een probleem (te laat klaarstaan met je release) of misschien een probleem (je test effort wat verlagen). Ik weet wel wat ik kies. En daarbij: voor OpenSSL geldt dat het over het algemeen op Unix machines gebruikt worden. Die hebben geen update center en (meestal) beheerders die in dat geval handig genoeg zijn om met de hand een patch uit te rollen. Als je het kan voorkomen is dat beter, maar zoals ik aangaf: een paar dagen exploitable zijn lijkt me schadelijker omdat je dan niet weet wat je moet gaan fixen (is het alleen die machine of is men al via via het interne netwerk opgekomen en heeft men daar al wat malware neergezet voor het geval de voordeur gepatched wordt).
coolkil @Verwijderd25 oktober 2022 18:40
Compileren misschien maar ga er vanuit dat hier ook een groot test traject voor is en dat kan een stuk langer duren
Verwijderd @coolkil25 oktober 2022 18:42
In het nabije verleden deden ze het ook wel eens binnen een uur of 8 😉
_JGC_ @Verwijderd25 oktober 2022 23:12
En dan te bedenken dat 3.0.6 waarin ook al een beveiligingsfix zat is teruggetrokken vanwege regressies. Waarschijnlijk zijn ze bij het fixen daarvan tegen nog meer rotzooi aangelopen.

Bij 3.0.6 zat het lek in de implementatie van de legacy engine. Verklaart ook waarom 1.1.1 niet lek is.
MarcelG 25 oktober 2022 23:22
Mmm. Hier word ik weer zenuwachtig van. De afgelopen weken viel me al op dat ik ineens 5+ meldingen per dag kreeg dat m'n Synology een IP ge-autoblocked had (voorheen max 1 per week).
Ik heb uit voorzorg maar de portforwarding uitgeschakeld tot Synology met een fix komt.

Deze waarschuwing stond er (in het Duits) een week geleden: https://www.news.de/techn...luecken-vom-17-10-2022/1/

[Reactie gewijzigd door MarcelG op 22 juli 2024 22:03]

xbeam @MarcelG26 oktober 2022 07:59
Je moet je nas ook niet met een portforward maar met een ZTNA tunnel online zetten. En daar zet je SSO koppeling op van een je IDP (Office,Azure,Google,Duo van Cisco enz.)

Dan gaat je firewall/ portforward naar vanzelf open wanneer jij of een andere vertrouweling via SSO aanklopt. voor rest is er geen of portforward te vinden.
Tusk @xbeam26 oktober 2022 08:53
Is dat (SSO) ook met OpenVPN of Wireguard te fixxen?
citroenie @xbeam26 oktober 2022 09:16
Interesting

Heb je een verwijzing naar een goede tutorial hiervan?
Mvg
Onno 25 oktober 2022 18:11
OpenSSL is een van de meestgebruikte certificaten
🤔

OpenSSL is geen certificaat.
Irsu85 @Onno25 oktober 2022 19:08
lijkt gepatched te zijn in de versie van 25 okt 19:07 :)
Drardollan @Irsu8525 oktober 2022 21:34
Lijkt mij heel sterk dat ze iets wat volgende week pas als update beschikbaar komt vandaag al publiekelijk zouden builden.

Maar ik laat mij graag verrassen, heb je een betrouwbare bron?
SuperDre @Drardollan25 oktober 2022 22:44
Lol, je begreep zijn post niet.
dutchgio @Drardollan25 oktober 2022 21:52
Het gaat om het Tweakers bericht dat is 'gepatched' volgens mij, de opmerking over OpenSSL en certificaten is gecorrigeerd.
Irsu85 @dutchgio26 oktober 2022 09:18
het bericht is gepatched inderdaad, van openssl weet ik het niet
GeenBergTeHoog @Irsu8525 oktober 2022 19:19
Klinkt goed. Bron?
Soldaatje @GeenBergTeHoog25 oktober 2022 19:28
Tweakers is niet opensource.
ViPER_DMRT @Onno26 oktober 2022 09:55
OpenSSL.pem O-)
Tonkie1967 25 oktober 2022 20:08
Hebben ze het hier over https://cve.report/CVE-2022-1292 of is dit een ander issue?
Bolukan @Tonkie196725 oktober 2022 20:21
indicatie: "Fixed in OpenSSL 3.0.3"
DikkieDick @Bolukan25 oktober 2022 23:29
Zie ik iets over het hoofd maar hoe komt het dat in de Debian Unstable (bullseye) 3.0.5 van juli 2022 zit?
Tonkie1967 @Bolukan26 oktober 2022 10:02
Thanks. Zag het later ook
Dus vooralsnog geen cve nummer publiek bekend. Neem aan dat dat dan next Tuesday gebeurt
kdekker 25 oktober 2022 22:15
OpenSSL heeft, net als bijna ieder ander software pakket dat er toe doet, al vaker veiligheidslekken gehad, maar publiceren dat ook netjes: https://www.openssl.org/news/vulnerabilities.html en een mooi grafiekje: https://www.cvedetails.co...penssl.html?vendor_id=217

Linux distributies lopen meestal iets achter op de actuele release, maar al zouden zelfs de openssl binaries niet op je systeem staan, dan nog zijn er een hoop andere producten die openssl (of een variant ervan) gebruiken.

Een lek is nooit fijn, maar zolang het mensenwerk is, zullen er ook lekken zijn ;-)
Takkie 1 november 2022 17:40
Ze hebben vandaag informatie gedeeld op hun site.
https://www.openssl.org/b.../email-address-overflows/
https://www.openssl.org/news/secadv/20221101.txt

[Reactie gewijzigd door Takkie op 22 juli 2024 22:03]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq