OpenSSL heeft een ernstige fout gepatcht die het mogelijk maakte voor hackers om een groot aantal servers stil te leggen.
De bug die OpenSSL patchte zorgde ervoor dat servers crashten nadat ze een kwaadaardig verzoek kregen van een onbevoegde gebruiker. CVE-2021-3449, zoals de denial-of-server kwetsbaarheid wordt genoemd, is het resultaat van een deference bug.
Hackers konden misbruik maken van de kwetsbaarheid door een boosaardig heronderhandelingsverzoek te sturen tijdens het eerste contact dat een veilige verbinding tot stand brengt tussen een eindgebruiker en een server.
Onderzoekers ontdekten de kwetsbaarheid in OpenSSL op 17 maart. Nokia-ontwikkelaars Peter Kästle en Samuel Sapalski zorgden ervoor dat er een patch kwam.
Fout in OpenSSL kan grote gevolgen hebben
OpenSSL levert cryptografische functies die gebruik maken van het Transport Layer Security protocol. Ontwikkelaars die applicaties bouwen op basis van TLS, gebruiken SSL om tijd te besparen en programmeerfouten te voorkomen.
In 2014 zagen we al dat OpenSSL een cruciale rol speelt in de beveiliging van het internet. Destijds maakten hackers misbruik van een kwetsbaarheid in de opensource-code bibliotheek waarmee ze encryptiesleutels, klanteninformatie en andere gevoelige data konden stelen van servers over de hele wereld. Deze beveiligingsfout, genaamd Heartbleed, liet zien hoe een paar regels verkeerde code de beveiliging van banken, nieuwssites, advocatenkantoren en nog veel meer andere bedrijven in gevaar bracht.
Tweede bug in OpenSSL gepatcht
Naast de denial-of-service bug, lost OpenSSL ook nog een andere fout op. Deze tweede fout maakte het in sommige gevallen mogelijk om te voorkomen dat apps TLS-certificaten detecteren die niet digitaal ondertekend zijn door een vertrouwde certificaatautoriteit.
OpenSSL versies 1.1.1h en nieuwe zijn kwetsbaar voor deze tweede bug. OpenSSL 1.0.2 wordt niet beïnvloed door het probleem. Kwetsbare applicaties zouden zo snel mogelijk moeten upgraden naar OpenSSL 1.1.1k.