Download
Beveilingsadvies; NCSC-2022-0685
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in OpenSSL
Advisory ID : NCSC-2022-0685
Versie : 1.00
Kans : medium
CVE ID : CVE-2022-3602, CVE-2022-3786
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
(Remote) code execution (Gebruikersrechten)
Uitgiftedatum : 20221101
Toepassing : OpenSSL
Versie(s) : 3.0.0 < 3.0.7
Platform(s) :
Beschrijving
Er zijn kwetsbaarheden verholpen in OpenSSL 3. OpenSSL is veel te
vinden op web- en mailservers maar wordt ook door andersoortige
systemen gebruikt. Denk daarbij aan netwerkapparatuur, embedded
systemen en containerimages.
De kwetsbaarheden kunnen door een kwaadwillende worden misbruikt
voor het uitvoeren van willekeurige code of het veroorzaken van een
denial-of-service. Laatstgenoemde is waarschijnlijk beperkt tot de
verbinding van de kwaadwillende zelf. De kwetsbaarheden zijn niet
aanwezig in OpenSSL 1.0.2 en 1.1.1.
De kwetsbaarheden bevinden zich in functionaliteit voor het
verifiëren van X.509-certificaten. De kwetsbaarheden kunnen zowel op
clients als servers worden misbruikt:
* Client-side kunnen de kwetsbaarheden worden misbruikt door
verbinding te maken met een malafide server.
* Server-side kunnen de kwetsbaarheden worden misbruikt wanneer
certificaten worden gebruikt voor bijvoorbeeld client
authentication.
Voor succesvol misbruik moet tevens aan ten minste één van de
volgende voorwaarden worden voldaan:
1. De kwaadwillende moet beschikken over een malafide certificaat
dat door een vertrouwde certificaatautoriteit moet zijn ondertekend.
2. Het systeem dat het malafide certificaat verifieert is zodanig
geconfigureerd dat het de geldigheid van bovenliggende certificaten
niet controleert.
Doordat aan een van bovenstaande voorwaarden moet worden voldaan, is
misbruik niet triviaal. Het is desalniettemin raadzaam om op korte
termijn de beschikbaar gestelde beveiligingsupdates te installeren
of mitigerende maatregelen te treffen. Dit geldt in het bijzonder
voor systemen die aan een van bovenstaande voorwaarden voldoen. Denk
daarbij bijvoorbeeld aan VPN-applicaties die gebruik maken van
OpenSSL 3.0.0-3.0.6.
Het NCSC is samen met samenwerkingspartners bezig om een zo breed en
actueel mogelijk beeld te krijgen van producten die van een
kwetsbare OpenSSL-versie gebruik maken. Hiervoor wordt een lijst
bijgehouden op GitHub [1][2]. Producten die op de lijst staan worden
als onderdeel van dit beveiligingsadvies beschouwd. Organisaties
worden geadviseerd de lijst regelmatig te controleren op relevante
updates.
Het NCSC houdt de situatie rondom de kwetsbaarheid in de gaten en
werkt dit beveiligingsadvies bij wanneer nieuwe informatie
beschikbaar komt.
[1] https://github.com/NCSC-NL/OpenSSL-2022
[2]
https://github.com/NCSC-NL/OpenSSL-vulnerability-2022/blob/main
/software/README.md
Mogelijke oplossingen
De ontwikkelaars van OpenSSL hebben updates uitgebracht om de
kwetsbaarheid te verhelpen in OpenSSL 3.0.7. Voor meer informatie,
zie:
https://www.openssl.org/news/secadv/20221101.txt
OpenSSL heeft naast bovenstaand beveiligingsadvies ook een blogpost
met achtergrondinformatie gepubliceerd. Deze is te vinden op de
volgende pagina:
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows
/
OpenSSL is onderdeel van een groot aantal producten van derden. Voor
beveiligingsupdates en mitigerende maatregelen bent u daarom
mogelijk afhankelijk van uw leveranciers. Houdt, naast de
GitHub-repository van het NCSC, oog voor nadere berichtgeving vanuit
uw leveranciers en breng in kaart welke systemen binnen uw IT- en/of
OT-omgeving gebruik maken van OpenSSL 3. Voor vragen over de
kwetsbaarheid in specifieke producten kunt het beste met uw
leverancier contact opnemen.
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=EqT1
-----END PGP SIGNATURE-----
