Bereid u voor op ernstige fouten, OpenSSL waarschuwt gebruikers

Serverbeheerders en ontwikkelaars let op: Het OpenSSL Project is van plan om donderdag beveiligingsupdates vrij te geven voor de veelgebruikte cryptografische bibliotheek die een hoge mate van kwetsbaarheid zal herstellen.

OpenSSL implementeert meerdere cryptografische protocollen en algoritmen inclusief TLS (Transport Layer Security), die ondersteunt encryptie op het web als onderdeel van protocollen zoals HTTPS (HTTP Secure), IMAPS (Secure Internet Access Protocol) en SMTPS (Simple Mail Transfer Protocol Secure).

Het project heeft niet aangegeven welk deel van de bibliotheek is aangetast , maar ernstige tekortkomingen in OpenSSL zijn meestal een groot probleem, vooral als ze van invloed zijn op TLS.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

OpenSSL wordt gebruikt door een groot aantal toepassingen en systemen, van webservers om te embedden Apparaten afmeten, waarvan sommige lang kunnen duren om te patchen. <> Maanden nadat de kritieke Heartbleed-kwetsbaarheid vorig jaar in OpenSSL werd aangekondigd, identificeerden hard- en softwareleveranciers nog steeds de betreffende producten en publiceerden ze updates.

Volgens de Het beveiligingsbeleid van OpenSSL Project, de tekortkomingen die als zeer ernstig worden gemarkeerd, zijn van invloed op veelvoorkomende configuraties en kunnen waarschijnlijk worden misbruikt. Hun impact omvat zaken als server denial-of-service, significant lek van servergeheugen of uitvoering van externe code.

Het probleem dat donderdag moet worden opgelost heeft invloed op de 1.0.1 en 1.0.2 versies van OpenSSL. Dit zijn de releases van de bibliotheek die TLS v1.1 en TLS v1.2 ondersteunen, de nieuwste versies van het protocol. De gepatchte versies worden 1.0.1p en 1.0.2d genoemd.

OpenSSL 0.9.8 en 1.0.0, die het project nog tot het einde van dit jaar ondersteunt, worden niet beïnvloed.