Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Factsheet Heartbleed: Ernstige kwetsbaarheid in OpenSSL

Laatste wijziging :
11-04-2014
Eerste publicatie:
08-04-2014
Versie:
1.1
Type:
Factsheet

Op 7 april 2014 is de Heartbleed-kwetsbaarheid gepubliceerd. Dit is een kwetsbaarheid in programmeerbibliotheek OpenSSL. Een aanvaller kan geheime sleutels en certificaten achterhalen van een kwetsbare server of ander apparaat. Ook andere gevoelige informatie zoals wachtwoorden en klantgegevens kan worden achterhaald.

Met de geheime sleutels van certificaten kan de aanvaller informatie achterhalen uit versleutelde verbindingen die worden gebruikt voor bijvoorbeeld websites, e-mail en VPN.

Deze ernstige kwetsbaarheid kan worden weggenomen door de server of het andere apparaat te upgraden naar een versie van OpenSSL die niet kwetsbaar is. Daarnaast is het raadzaam certificaten en de bijbehorende geheime sleutels te vervangen als deze op een kwetsbare server of ander apparaat gebruikt zijn.

Een Engelstalige versie van het factsheet is op de Engelstalige website te vinden.

Versie 1.1 - update
- Niet alleen servers, ook andere apparaten die OpenSSL gebruiken zijn kwetsbaar.
- Een aanval is alleen te zien in het netwerkverkeer, niet in de serverlogs.
- Het 'rekeyen' van certificaten is een goed en mogelijk goedkoper alternatief voor het aanschaffen van nieuwe certificaten.

Download

Over het NCSC

NCSCstill

CSBN 2017

CSBN 2017