OpenSSL kondigt belangrijke beveiligingsupdate aan voor 9 juni

In dit artikel:

Het OpenSSL-ontwikkelteam brengt op 9 juni tussen 15.00 en 19.00 uur Nederlandse tijd een belangrijke beveiligingsupdate uit die één of meerdere kwetsbaarheden met de classificatie “High” verhelpt. Het team deelt geen technische details over de lekken. High-kwetsbaarheden in OpenSSL zijn zeldzaam: sinds 2002 zijn er 22 gerapporteerd, waarvan slechts drie in de afgelopen ruim drie jaar. Zulke fouten kunnen onder meer leiden tot diefstal van privésleutels of remote code-executie, maar worden niet als “Critical” bestempeld omdat ze meestal niet in standaardconfiguraties voorkomen of lastiger te misbruiken zijn. Op 9 juni verschijnen updates voor versies 4.0.1, 3.6.3, 3.5.7, 3.4.6 en 3.0.21; betalende klanten krijgen ook 1.0.2zq en 1.1.1zh. Beheerders van servers en services die OpenSSL gebruiken wordt aangeraden de beschikbaar komende patches snel te installeren — kwetsbaarheden in deze bibliotheek kunnen grote gevolgen voor internetbeveiliging hebben (denk aan Heartbleed).