Kwetsbaarheid in OpenSSL

Inmiddels hebben wij gecontroleerd voor welke applicaties de kwetsbaarheden in Open SSL 3.0 gelden, en dit blijkt nauwelijks op onze diensten impact te hebben. Daarnaast is bekend geworden dat de kwetsbaarheden ongeschikt zijn voor grootschalig misbruik, waardoor het risico is afgeschaald naar hoog. Daarmee melden we deze melding af. We zullen de ontwikkelingen in de gaten blijven houden. Mocht de situatie toch wijzigen, dan zullen we deze melding heropenen en delen we updates via deze statuspagina. Heb je vragen, stuur dan een email naar servicedesk@veneco.nl.

Zojuist heeft het ontwikkelteam van OpenSSL versie 3.0.7. uitgebracht. Hierin worden meerdere kwetsbaarheden verholpen. De kwetsbaarheid die OpenSSL eerder classificeerde als ‘kritiek’, hebben zij nu afgeschaald naar ‘hoog’. Op basis van de informatie die nu beschikbaar is, schat ook het NCSC de ernst van de kwetsbaarheid minder groot in dan op voorhand werd gedacht.

De NCSC houdt een lijst bij van kwetsbare producten. Naast het onderzoek wat wij op onze diensten doen, kun je op deze lijst de impact checken op andere producten die je wellicht gebruikt binnen jouw organisatie: https://github.com/NCSC-NL/OpenSSL-2022

Er is een kritieke kwetsbaarheid gevonden in OpenSSL 3.0. Vanmiddag worden meer details bekend gemaakt hierover. Op dit moment is alleen bekend dat deze kwetsbaarheid van de meest ernstige categorie is en alleen van toepassing lijkt op OpenSSL 3.0. Omdat nog niet bekend is wat de impact van deze kwetsbaarheid is, kunnen we nog weinig extra informatie geven. Zodra er meer bekend is, brengen we je op de hoogte via deze statuspagina.