Er zijn zes kwetsbaarheden gevonden in OpenSSL. OpenSSL heeft updates uitgebracht om de kwetsbaarheden te verhelpen. De verwachting is dat andere leveranciers binnenkort ook patches zullen uitbrengen.

Gevolgen

Wanneer de kwetsbaarheden worden uitgebuit kan een aantal verschillende vormen van schade worden veroorzaakt. Deze zijn het lekken van gevoelige gegevens, een Denial of Service (DoS) en mogelijk de uitvoer van willekeurige code.

Beschrijving

Er zijn zes kwetsbaarheden ontdekt in OpenSSL, waarmee verschillende vormen van schade kunnen worden veroorzaakt. OpenSSL heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Naar verwachting zullen andere leveranciers ook updates uitbrengen om deze issues te adresseren.

-CVE-2011-4108
Een kwetsbaarheid in de OpenSSL implementatie van Datagram Transport Layer Security (DTLS) is vatbaar voor een variatie van de padding oracle aanval tegen versleuteling via Cipher Block Chaining. Meer informatie over deze aanval is te vinden via:
http://www.isg.rhul.ac.uk/~kp/dtls.pdf

-CVE-2011-4109
Zodra de X509_V_FLAG_POLICY_CHECK is gezet in OpenSSL 0.9.8 kan een policy check mogelijk leiden tot een double-free situatie. Deze situatie kan als gevolg hebben dat een aanvaller controle heeft over het dubbel vrijgegeven stuk geheugen. In specifieke gevallen kan dit leiden tot een buffer overflow. Deze kwetsbaarheid is alleen aanwezig in OpenSSL 0.9.8.

-CVE-2011-4576
Omdat OpenSSL geen data verwijdert uit de bytes die worden gebruikt als block cipher padding in SSL 3.0 velden, kan mogelijk gevoelige data worden gelekt. Het probleem komt voor wanneer de SSLv3_{server|client}_method of de SSLv23_{server|client}_method wordt aangeroepen. In theorie kan elk SSL 3.0 record dat wordt verzonden 15 bytes aan gevoelige data bevatten. In de meeste installaties zal er slechts één buffer met gevoelige informatie per verbinding worden overgestuurd.

-CVE-2011-4577
Volgens RFC 3779 kan zowel IP als AS informatie worden opgenomen in een X.509 certificaat. Wanneer een certificaat speciaal gefabriceerde informatie bevat in de hiervoor bestemde velden, kan de OpenSSL instantie crashen, met een DoS als gevolg.

-CVE-2011-4619
Een aanvaller kan een DoS aanval uitvoeren vanwege het feit dat de kwetsbare versies van OpenSSL Handshake Restarts in Server Gated Cryptography (SGC) ondersteunen. Er zijn geen details bekend gemaakt over deze kwetsbaarheid.

-CVE-2012-0027
Een OpenSSL installatie waarbij gebruik wordt gemaakt van de OpenSSL GHOST ENGINE is vatbaar voor DoS. Een aanvaller kan deze aanval uitvoeren door ongeldige GHOST parameters naar de server te sturen.

Mogelijke oplossingen

OpenSSL

OpenSSL heeft OpenSSL versies 1.0.0f en 0.9.8s uitgebracht om de kwetsbaarheden te verhelpen. U kunt deze versies downloaden vanaf de OpenSSL website:
http://openssl.org/source/
Hyperlinks
http://openssl.org/news/secadv_20120104.txt

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.

Trackback link

Nog geen reacties

Wees de eerste die reageert!

Laat een reactie achter

Je moet ingelogd zijn om te kunnen reageren.