In navolging op de e-mail van donderdag 27 oktober met betrekking tot de kwetsbaarheid in OpenSSL, hierbij een update.

De oplossing
Het OpenSSL project Team heeft zoals aangekondigd gisteren updates uitgebracht. De NCSC heeft deze onderzocht en gisteren ook een update geplaatst, zie hiervoor deze link: https://www.ncsc.nl/actueel/advisory?id=NCSC-2022-0685

Er staat tevens een lijst met vendoren op github waarin wordt aangegeven wat de laatste status is bij elke vendor die gebruik maakt van OpenSSL, deze lijst is hier te vinden: https://github.com/NCSC-NL/OpenSSL-2022/blob/main/software/README.md

Houd deze lijst nauwlettend in de gaten en zodra er updates beschikbaar zijn adviseren we deze zo snel mogelijk door te voeren.

Als laatste willen we je ook attenderen op een artikel op security.nl waarin uitleg gegeven wordt over de inschaling van de kwetsbaarheid. Per situatie moet beoordeeld worden hoe kwetsbaar de omgeving is voor dit lek. https://www.security.nl/posting/773181/OpenSSL+schaalt+kwetsbaarheid+%28CVE-2022-3602%29+af+van+kritiek+naar+high

Via dit bericht willen we je informeren over de aankondiging van een kritieke kwetsbaarheid in OpenSSL.

OpenSSL is een van de meest gebruikte opensourcebibliotheken voor cryptografie, waardoor een kritieke kwetsbaarheid gevaarlijk kan zijn.

De kwetsbaarheid
De kwetsbaarheid in versie 3.0 van OpenSSL stelt een kwaadwillende in staat toegang te krijgen tot servers, deze over te nemen en/of onderschepte communicatie te ontsleutelen. Hierdoor kan er toegang worden verkregen tot gevoelige gegevens.

De oplossing
De kwetsbaarheid in versie 3.0 van OpenSSL moet worden verholpen met de release van 3.0.7. Het OpenSSL Project Team heeft 25 oktober aangekondigd dat op dinsdag 1 november een beveiligingsupdate verschijnt.

Previder houdt de updates aankomende periode nauwlettend voor je in de gaten. De verwachting is dat vendoren met kwetsbare producten snel met updates komen, waarop wij actie zullen ondernemen voor jouw beheerde omgeving(en).