Op 21 april 2020 heeft OpenSSL aangekondigt dat er een ernstige kwetsbaarheid aanwezig is in OpenSSL 1.1.1d, 1.1.1e en 1.1.1f en hiervoor een beveiligingsupdate uitgebracht. Als gevolg van deze kwetsbaarheid zijn services die gebruik maken van zowel TLS 1.3 als deze OpenSSL-versies mogelijk kwetsbaar voor Denial of Service (DoS) aanvallen. Op deze pagina vind je de publicatie van OpenSSL over deze kwetsbaarheid.

In dit artikel geven wij meer informatie over deze kwetsbaarheid en leggen uit hoe je je VPS er tegen beschermt.

De kwetsbaarheid

Bij het opzetten van een SSL-verbinding wordt een 'handshake'-procedure uitgevoerd om een beveiligde verbinding tussen de client en server op te zetten.

Als je in OpenSSL 1.1.1d, 1.1.1e en 1.1.1f gebruik maakt van TLS 1.3, kan tijdens of na dit handshake-proces een specifieke functie (SSL_check_chain) worden aangeroepen. Als een aanvaller een ongeldige of lege handtekening stuurt én SSL_check_chain wordt aangeroepen, treed een 'NULL pointer dereference' op. De SSL_check_chain-functie 'breekt' dan, waardoor de applicatie die er gebruik van maakt crashed.

Controleren of je VPS kwetsbaar is

Je controleert eenvoudig je VPS op deze OpenSSL-kwetsbaarheid door het versienummer van OpenSSL te controleren. Hiervoor gebruik je de volgende commando's:

openssl version

De output ziet er uit zoals in het voorbeeld hieronder. Zie je hier versienummer 1.1.1d, 1.1.1e, of 1.1.1f terug? Dan is je VPS kwetsbaar.

Debian 10 Buster stable

Voor Debian 10 Buster is de  updated versie van OpenSSL niet 1.1.1g maar 1.1.1d-0+deb10u3. Je controleert of je deze versie gebruikt met het commando:

apt-cache policy openssl 

Het resultaat ziet er uit zoals hieronder. Zie je niet versie 1.1.1d-0+deb10u3 of nieuwer terug? Dan is je VPS kwetsbaar.

Je VPS beschermen

Gebruik je OpenSSL-versienummer 1.1.1d, 1.1.1e of 1.1.1f? Dan hoef je enkel OpenSSL te updaten naar 1.1.1g om het probleem te verhelpen. In Debian 10 / Ubuntu 20.04 doe je dit bijvoorbeeld met het commando:

sudo apt -y update && sudo apt -y upgrade

Je controleert tot slot of de update naar openssl 1.1.1.g geslaagd is met het commando:

openssl version

Of in Debian 10 Buster:

apt-cache policy openssl 

That's it! Je VPS kan nu niet langer misbruikt worden via deze kwetsbaarheid in OpenSSL. Voor meer algemene tips voor het beveiligen van je VPS, zie dit artikel.

Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.