Nieuwe versie OpenSSL vermindert ernst kritiek lek

Het ontwikkelteam van OpenSSL heeft een nieuwe versie uitgebracht: 3.0.7. Deze versie verhelpt meerdere kwetsbaarheden. De kwetsbaarheid die OpenSSL vorige week classificeerde als ‘kritiek’, hebben zij nu afgeschaald naar ‘hoog’, zo meldt het Nationaal Cyber Security Centrum (NCSC).

OpenSSL is een populaire opensource-implementatie van het SSL- en TLS-protocol. In de implementatie was vorige week een kritiek lek ontdekt. Op basis van de informatie die nu beschikbaar is, schat ook het NCSC de ernst van de kwetsbaarheid minder groot in dan eerder werd gedacht.

De instantie heeft een beveilingsadvies met handelingsperspectief gepubliceerd. De mogelijkheid bestaat nog steeds dat een organisatie gebruikmaakt van een kwetsbare versie van OpenSSL. Het NCSC adviseert organisaties daarom het beveiligingsadvies te lezen en, waar nodig, actie te ondernemen.

Daarnaast is het NCSC met samenwerkingspartners bezig om een zo breed en actueel mogelijk beeld te krijgen van producten die van een kwetsbare OpenSSL-versie gebruik maken. Hiervoor wordt een lijst bijgehouden op GitHub. Het advies is om de lijst regelmatig op relevante updates te controleren.