Weer kwetsbaarheden ontdekt in OpenSSL

De ontwikkelaars van OpenSSL rollen donderdag een nieuwe versie uit, die een of meer ernstige beveiligingsproblemen moet oplossen. Vorig jaar kampte OpenSSL al met een groot lek, waardoor het interne geheugen van servers kon worden uitgelezen.

Om wat voor lek of lekken het gaat, is niet bekend; in de vooraankondiging van de versie geeft OpenSSL-ontwikkelaar Matt Caswell enkel aan dat een of meer kwetsbaarheden de classificatie ‘ernstig’ hebben. Die classificatie is gereserveerd voor beveiligingsproblemen waarvan de kans groot is dat ze worden misbruikt. Daarbij kan het bijvoorbeeld gaan om een denial of service, het uitvoeren van code of het uitlezen van gegevens uit het geheugen.

De bug kan zowel gevolgen hebben voor servers als voor eindgebruikers. OpenSSL wordt vaak gebruikt door servers om ssl/tls-verbindingen aan te kunnen bieden, maar ook sommige browsers en besturingssystemen voor eindgebruikers gebruiken de ssl-bibliotheek. Daaronder zijn de nodige Linux-distributies. Google gebruikte OpenSSL tot vorig jaar in Chrome OS en Android, maar heeft de software inmiddels geforkt tot een eigen versie. Die is echter gebaseerd op de code van OpenSSL, dus de kwetsbaarheid zou op die systemen nog steeds aanwezig kunnen zijn.

Vorig jaar kwam een grote bug in OpenSSL aan het licht. De Heartbleed-bug maakte het mogelijk om een deel van het interne geheugen van servers en clients met OpenSSL uit te lezen. De bug ontketende een storm van kritiek op OpenSSL, dat slecht onderhouden zou zijn; Google en OpenBSD besloten de software te forken. Overigens werden ook in andere ssl-implementaties vorig jaar kwetsbaarheden gevonden.