Heartbleed ondermijnt ook OpenVPN, Tor en Oracle
De Heartbleed-bug blijft uitdijen, met nu ook problemen voor OpenVPN en het Tor-systeem. En Oracle heeft een lijst van geïmpacteerde producten gepubliceerd.
Bedrijven die een maximale beveiliging nastreven in de communicatie van hun werknemers met de bedrijfssystemen, maken vaak gebruik van Virtual Private Network technologie (VPN). Nu blijkt dat een open source implementatie van deze technologie – OpenVPN – eveneens lijdt onder de Heartbleed-bug, omdat de standaard TLS-library van OpenVPN deze van OpenSSL is.
Hiervoor was al gewaarschuwd, maar nu heeft een Zweedse onderzoeker, Fredrik Strömberg, aangetoond dat ook in OpenVPN-verbindingen de private sleutels kunnen worden gestolen. Een en ander is beduidend moeilijker dan het stelen van de sleutels uit een HTTPS-verbinding, maar ook hier luidt het advies zo snel mogelijk de nodige upgrades uit te voeren. Bedrijven die gebruik maken van VPN-verbindingen moeten dus zo spoedig mogelijk checken of er gebruik wordt gemaakt van OpenSSL, en zo ja van welke versie.
Tor-netwerk gewied
Ook het Tor-netwerk, een open netwerk voor geanonimiseerde communicatie, lijdt onder Heartbleed. In een blog had het Tor-project al de mogelijke gevaren van Heartbleed voor de verschillende elementen in het netwerk aangekaart. Ondertussen zijn er nieuwe Tor-bundels beschikbaar voor de ‘clients’, en wordt iedereen die gebruik maakt van OpenSSL in hun besturingssysteem geadviseerd indien nodig een upgrade uit te voeren. Zelf heeft het Tor-project ook ‘relay’ en ‘bridge’-servers uit het netwerk gewied, als die bleken gebruik te maken van OpenSLL-versies met de Heartbleed-bug. Dat resulteerde in eerste instantie al in “12 procent minder ‘exit’ capaciteit en 12 procent minder ‘guard’ capaciteit,” stellen de projectbeheerders. De aantallen kunnen nog stijgen, terwijl ook andere onderdelen van het netwerk nog zullen worden onderzocht. De performantie van het netwerk lijdt dan ook onder de impact van de Haertbleed bug.
Oracle-lijst met getroffen producten
Voorts heeft Oracle een lijst gepubliceerd van producten “die steunen op OpenSSL, met informatie over hun huidige status inzake OpenSSL versies die als kwetsbaar werden gerapporteerd voor de ‘Heartbleed’ zwakheid.” Voor een aantal van hen zijn al patches beschikbaar, voor anderen wordt er nog aan gewerkt, zodat Oracle de lijst nog zal bijwerken. Tevens worden ook de producten vermeld die van niet getroffen OpenSSL-versies gebruikmaken.
Oracle voegt er tevens een lijst van producten aan toe die ‘out of the box’ geen gebruik maken van OpenSSL, en dus niet onder de Heartbleed-bug lijden. Maar gebruikers doen er goed aan “de omkaderende technische omgeving van deze producten te checken op onderdelen die wellicht wel door deze kwetsbaarheid getroffen zijn.”
Fout opgemerkt of meer nieuws? Meld het hier