18 maart 2015 13:03

OpenSSL werkt aan patch voor reeks beveiligingslekken

De openbron bibliotheek ontvangt vrijdag een update om een aantal gaten te dichten, waaronder eentje van de grootste en ergste orde.

OpenSSL ontvangt vrijdag een update met de nodige verbeteringen voor tot nu toe niet bekendgemaakte kwetsbaarheden. Een van deze zwakke plekken is gemarkeerd als kritiek.

In een notitie aan ontwikkelaars kondigde het OpenSSL Project aan dat de versies 1.0.2a, 1.0.1m, 1.0.0r en 0.9.8z vlak voor het weekend verschijnen.

[related_article id=”161920″]

De kwetsbaarheden zijn nog niet publiekelijk bekendgemaakt om te voorkomen dat er op grote schaal misbruik van gemaakt wordt. De update is een laatste in een serie van patches om zwakke plekken in de software te dichten.

OpenSSL-servers zijn een van de populairste openbron en breed beschikbare toolkits voor het implementeren van SSL en TLS. Het vertrouwen in het project liep echter een grote deuk op na een reeks van grote gaten in de software waardoor duizenden servers, websites en databases gevaar liepen.

In april vorig jaar ontdekten onderzoekers een bug die bekend werd als Heartbleed in vroegere versies van OpenSSL. Via dit gat konden aanvallers potentieel versleutelde gegevens inzien, zoals creditcardtransacties en zelfs de SSL-sleutels. Maanden later, na het gedoe om alle servers te updaten, bleek dat nog steeds honderdduizenden servers kwetsbaar waren.

Dit jaar kwam de FREAK-bug aan het licht. Dit gat stelt een aanvaller in staat om mee te luisteren en kijken op versleutelde netwerken door een man-in-the-middle-aanval. Bijna iedereen had hier last van, waaronder apparaten en diensten van Apple, Google, Blackberry en elke versie van Windows. Getroffen bedrijven als Google, Facebook en Cisco hopen dergelijke problemen in de toekomst te voorkomen door het OpenSSL Project te financieren.