+31 (0)24 820 00 00

OpenSSL Heartbleed bug (CVE-2014-0160)

Afgelopen week is er een kwetsbaarheid in de cryptografie-library OpenSSL bekend gemaakt. Deze kwetsbaarheid wordt “The Heartbleed Bug (CVE-2014-0160)” genoemd en maakt het voor kwaadwillende mogelijk data welke versleuteld is, via een redelijk ingewikkelde truck, toch te kunnen lezen. (details te lezen op: http://heartbleed.com)

OpenSSL wordt door een groot deel van het internet op SSL pagina’s (deze beginnen met https://) gebruikt voor het versleutelen van de data welke van en naar deze pagina’s gestuurd wordt. Nadat de bug bekend gemaakt is heeft Savvii direct binnen haar infrastructuur de OpenSSL-library voorzien van de hotfix, welke bij bekendmaking beschikbaar is gesteld, en nieuwe SSL certificaten aangevraagd voor de met SSL beveiligde bestelpagina’s bij Savvii. Hierdoor is het bij Savvii niet meer mogelijk versleutelde data in te kunnen zien middels deze bug.

Ondanks dat de bug pas afgelopen week ontdekt/bekend gemaakt is, blijkt hij toch al langer gebruikt te kunnen worden aangezien de betreffende versie van OpenSSL (versie < 1.0.1g & 1.0.2beta) waarin hij voorkomt al meer dan een jaar oud is.

Encryption

Het misbruik van deze bug is niet te achterhalen, hierdoor kan geen enkele partij welke gebruik maakt van SSL pagina’s garanderen dat er geen informatie onderschept is. Savvii adviseert dan ook om wachtwoorden welke gebruikt worden bij diensten via SSL pagina’s (denk aan internetbankieren, sites waarbij inloggen vereist is etc.) te resetten. Uiteraard geldt dit ook voor het wachtwoord van het Savvii controlpanel, via https://admin.savvii.nl kun je onder het menu-item “Account” je Savvii wachtwoord resetten.

Tot slot mocht je zelf een site hosten welke voorzien is van SSL en willen weten of jouw site en hosting provider beveiligt zijn tegen de Heartbleed Bug kunt dit op onderstaande URL testen:

http://filippo.io/Heartbleed/

Tweet about this on TwitterShare on LinkedInShare on Facebook

Reageer

(wordt niet getoond)
(wordt niet getoond)
* verplichte velden

Terug naar overzicht

Wij werken met:

  • rackspace_savvii
  • New Relic
  • nginx_savvii
  • Varnish
  • Mandrill
  • Freshdesk