Beltug

Alert from Cert.be: vulnerability report OpenSSL


Date:10/04/2014


(Nederlands onderaan) - This is a message from CERT.be, the Belgian federal cyber emergency team.

Extra info: 
https://www.ssllabs.com/ssltest/

http://www.checkpoint.com/defense/advisories/public/2014/cpai-09-apr.html

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk100173   


A la suite d'une vulnérabilité extrêmement critique dans OpenSSL, il devient possible de voler des informations qui, dans des conditions normales, sont protégées par l?encryption SSL/TLS. La communication par SSL/TLS fournit la sécurité pour des applications comme le web, e-mail, Instant Messaging (IM) et Virtual Private Networks (VPN).

Vous trouverez plus d'informations sur ce site de OpenSSL (1) ou sur le site de Codenomicon (2). Des mises à jour d'OpenSSL sont disponibles. Cette vulnérabilité a eu pas mal d'attention sur Internet et il est donc possible qu'elle sera exploitée. Vous trouverez plus d'informations sur le site de CERT.be (3)

Après les mises à jour, toutes les informations confidentielles doivent être evaluées.

Nous recommandons de régénérer les clés X.509.

Bien à vous,

L'équipe CERT.be

(1) https://www.openssl.org/news/secadv_20140407.txt

(2) http://heartbleed.com/

(3) https://www.cert.be/fr/docs/faille-importante-dans-openssl

-------------------------------------------------------------------

Door een ernstige kwetsbaarheid in OpenSSL is het mogelijk om informatie die onder normale omstandigheden beschermd wordt door de SSL/TLS encryptie te stelen. Communicatie via SSL/TLS biedt beveiliging en privacy voor toepassingen zoals web, e-mail, Instant Messaging (IM) en Virtual Private Networks (VPN). Meer informatie kunt u vinden op deze website van OpenSSL (1) of op de website van Codenomicon (2).

Er is een patch uitgegeven door OpenSSL. Het wordt aanbevolen om uw systeem zo snel mogelijk te patchen. Deze kwetsbaarheid heeft aanzienlijk wat aandacht gekregen op het Internet en het is dus mogelijk dat deze zal worden misbruikt. Meer advies kan u vinden op de CERT.be website (3).

Na patchen kunt u best alle mogelijk betrokken gevoelige informatie evalueren, zeker private keys of andere credentials. We bevelen alleszins aan om de X.509 key materials opnieuw te genereren.

Met vriendelijke groeten,

CERT.be

(1) https://www.openssl.org/news/secadv_20140407.txt

(2) http://heartbleed.com/

(3) https://www.cert.be/nl/docs/ernstige-kwetsbaarheid-openssl

 

 




>>> Back to overview