Kwetsbaarheid in OpenSSL: bereid je voor op updates
Er is een kritieke kwetsbaarheid gevonden in OpenSSL 3.0. Het ontwikkelteam van OpenSSL heeft aangekondigd dat zij dinsdag 1 november 2022 versie 3.0.7 uitbrengen. In deze nieuwe versie wordt de kwetsbaarheid verholpen. De kwetsbaarheid is niet aanwezig in versies lager dan 3.0. Versies 1.1.1 en 1.0.2 zijn dus niet getroffen door dit probleem.
OpenSSL behoort tot de meest gebruikte softwarecomponenten voor het versleutelen van netwerkverbindingen. Het NCSC adviseert om in kaart te brengen welke software binnen uw organisatie gebruik maakt van OpenSSL. Bereid uw organisatie voor om relevante software direct te patchen zodra updates beschikbaar zijn.
Om organisaties te ondersteunen bij het in kaart brengen van kwetsbare systemen, heeft het NCSC een Github-pagina opgezet waarop een overzicht wordt bijgehouden van producten die gebruik maken van OpenSSL. Waar mogelijk wordt aangegeven welke producten gebruik maken van een kwetsbare versie. Het NCSC zal de komende tijd deze Github-pagina actief bijhouden.
Op dit moment is er geen nadere informatie over de kwetsbaarheid beschikbaar. Het is het NCSC niet bekend of het probleem in een of meerdere 3.0 versies bestaan en of er reeds misbruik heeft plaatsgevonden. Zodra de patch of relevante informatie beschikbaar komt brengt het NCSC een beveiligingsadvies uit.