- Door
- Jeroen Mulder
- geplaatst op
- 11 april 2014 10:01 uur
Diverse leveranciers van operating systemen en serversystemen werken aan patches om het gat in de SSL-beveiliging te dichten. IceWarp, leverancier van messaging systemen voor e-mail, chat en sms-verkeer, stelt een 32bits en een 64bits-patch ook beschikbaar aan Microsoft-klanten.
Maandag maakte onder meer Google bekend dat via een OpenSSL-lek hackers encryptiesleutels kunnen overnemen. Het lek is gevonden in OpenSSL, versie 1.0.1 tot en met 1.0.1f. Op verschillende sites werd gemeld dat dit een ernstig lek is, vooral omdat een hacker geen sporen achterlaat als hij via het gat in OpenSSL stukjes geheugen uitleest en daarmee encryptiegegevens kan bemachtigen. Des te groter is de verwondering dat Microsoft nog geen patch heeft uitgebracht om dit probleem op te lossen.
Het lek waarmee berichtenverkeer dus kan worden afgeluisterd, heeft een forse impact. Onder meer Facebook en diverse Google-services waaronder Gmail en YouTube zijn geraakt, maar ook AWS en Dropbox gebruikten een kwetsbare versie van OpenSSL.
Verschillende aanbieders werken inmiddels aan een oplossing, waaronder ook RedHat, SuSe en Ubuntu. Het probleem is ook opgelost als bedrijven, zoals hosters, systemen updaten naar OpenSSL 1.0.1g. Die versie is wel veilig. Een waarschuwing is dan wel op zijn plaats: als een hacker al sleutels heeft verkregen via het gat, dan blijven die gegevens bruikbaar – ook nadat het lek is gedicht met een patch, zoals IceWarp die nu ter beschikking stelt. Om dat te verhelpen, moet een eigenaar van een website zelf de certificaten wijzigen waarmee de oude encryptie niet meer gebruikt kan worden.