-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheden verholpen in OpenSSL Advisory ID : NCSC-2022-0685 Versie : 1.00 Kans : medium CVE ID : CVE-2022-3602, CVE-2022-3786 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Denial-of-Service (DoS) (Remote) code execution (Gebruikersrechten) Uitgiftedatum : 20221101 Toepassing : OpenSSL Versie(s) : 3.0.0 < 3.0.7 Platform(s) : Beschrijving Er zijn kwetsbaarheden verholpen in OpenSSL 3. OpenSSL is veel te vinden op web- en mailservers maar wordt ook door andersoortige systemen gebruikt. Denk daarbij aan netwerkapparatuur, embedded systemen en containerimages. De kwetsbaarheden kunnen door een kwaadwillende worden misbruikt voor het uitvoeren van willekeurige code of het veroorzaken van een denial-of-service. Laatstgenoemde is waarschijnlijk beperkt tot de verbinding van de kwaadwillende zelf. De kwetsbaarheden zijn niet aanwezig in OpenSSL 1.0.2 en 1.1.1. De kwetsbaarheden bevinden zich in functionaliteit voor het verifiëren van X.509-certificaten. De kwetsbaarheden kunnen zowel op clients als servers worden misbruikt: * Client-side kunnen de kwetsbaarheden worden misbruikt door verbinding te maken met een malafide server. * Server-side kunnen de kwetsbaarheden worden misbruikt wanneer certificaten worden gebruikt voor bijvoorbeeld client authentication. Voor succesvol misbruik moet tevens aan ten minste één van de volgende voorwaarden worden voldaan: 1. De kwaadwillende moet beschikken over een malafide certificaat dat door een vertrouwde certificaatautoriteit moet zijn ondertekend. 2. Het systeem dat het malafide certificaat verifieert is zodanig geconfigureerd dat het de geldigheid van bovenliggende certificaten niet controleert. Doordat aan een van bovenstaande voorwaarden moet worden voldaan, is misbruik niet triviaal. Het is desalniettemin raadzaam om op korte termijn de beschikbaar gestelde beveiligingsupdates te installeren of mitigerende maatregelen te treffen. Dit geldt in het bijzonder voor systemen die aan een van bovenstaande voorwaarden voldoen. Denk daarbij bijvoorbeeld aan VPN-applicaties die gebruik maken van OpenSSL 3.0.0-3.0.6. Het NCSC is samen met samenwerkingspartners bezig om een zo breed en actueel mogelijk beeld te krijgen van producten die van een kwetsbare OpenSSL-versie gebruik maken. Hiervoor wordt een lijst bijgehouden op GitHub [1][2]. Producten die op de lijst staan worden als onderdeel van dit beveiligingsadvies beschouwd. Organisaties worden geadviseerd de lijst regelmatig te controleren op relevante updates. Het NCSC houdt de situatie rondom de kwetsbaarheid in de gaten en werkt dit beveiligingsadvies bij wanneer nieuwe informatie beschikbaar komt. [1] https://github.com/NCSC-NL/OpenSSL-2022 [2] https://github.com/NCSC-NL/OpenSSL-vulnerability-2022/blob/main /software/README.md Mogelijke oplossingen De ontwikkelaars van OpenSSL hebben updates uitgebracht om de kwetsbaarheid te verhelpen in OpenSSL 3.0.7. Voor meer informatie, zie: https://www.openssl.org/news/secadv/20221101.txt OpenSSL heeft naast bovenstaand beveiligingsadvies ook een blogpost met achtergrondinformatie gepubliceerd. Deze is te vinden op de volgende pagina: https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows / OpenSSL is onderdeel van een groot aantal producten van derden. Voor beveiligingsupdates en mitigerende maatregelen bent u daarom mogelijk afhankelijk van uw leveranciers. Houdt, naast de GitHub-repository van het NCSC, oog voor nadere berichtgeving vanuit uw leveranciers en breng in kaart welke systemen binnen uw IT- en/of OT-omgeving gebruik maken van OpenSSL 3. Voor vragen over de kwetsbaarheid in specifieke producten kunt het beste met uw leverancier contact opnemen. Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBY2FTzxypWqw/ZiuAAQqLZQwAh+eA23I5u+yK6B/HxBWBsxIuTjgyyGxl OdOCmCHQ+pVZpDH3ki5D1IX5a+/1lqY4U1brSyKvnlllISh2dc5zyuiWZUpoc6Qv Oun38yP1thXftQJr3FWipd6g0BcHx9qpLOhUVsy3iOH5qBIoIGOZxrNsRUc5Qc6y PRI03R3AR0PnTjsNOcb022kjxFHX3sWoZ2BWk+8QC/Inx9MZ8gmv8VlIP+8aYVmp miNa8NpzMoCLcVA3KTh9K17VeMsxaruaokuMorxjjVQXgPYCEMftSJ4xLDIqV+Kw ELgqZ/Vb72PbuueJs1fP1N1gjXtrhoFR4Y+dXORoKEEhpb4S57Nw2zgy8VqVZhOH 9wI8cPuA14aZZjcoa1LClPaT81/3SpRqKHjgUxyhQrAOWkObLpifCBNKr+gXx8dl ANQh8pM40sl4YkJgBI+6D180YygZp2BFphBSGwUgRZaPXuEBGomIONE9W5le4/Ti Q6rkcffpD6xk5V4UxW6y7mgx0oBw/agJ =EqT1 -----END PGP SIGNATURE-----