14-04-2014 12:00:06


Op 8 april is een zeer ernstige kwetsbaarheid in OpenSSL publiekelijk bekend geworden. Deze kwetsbaarheid is ook bekend als Heartbleed bug en CVE-2014-0160. Deze bug kan via verschillende wegen gevolgen hebben voor u, omdat OpenSSL op veel plaatsen gebruikt wordt. Met dit blog willen wij de meest voorkomende vragen beantwoorden.

Waarop komt/kwam deze bug voor?
Systemen en software met OpenSSL met een versie tussen 1.0.1 en 1.0.1f zijn kwetsbaar voor deze bug.

Wat kunnen de gevolgen zijn van deze bug?
In hoofdlijnen kunnen de gevolgen zijn dat wachtwoorden niet meer veilig zijn en versleutelde inhoud door kwaadwillende uitgelezen kan worden. Daarmee kan een kwaadwillende zich voordoen als een gebruiker en het huidige, maar ook ‘opgenomen’ versleutelde verkeer decoderen en dus lezen.

Wat kan ik aan deze bug doen?

Zijn diensten van BIT getroffen door deze bug?
Op shared diensten van BIT is deze Heartbleed bug niet van toepassing, omdat deze shared diensten load balanced worden geleverd. Op onze load balancers wordt de SSL-afhandeling niet met OpenSSL gedaan. Het is dus bij diensten van BIT niet noodzakelijk uw wachtwoord te laten wijzigen. Uiteraard kunt desgewenst wel een wachtwoordwijziging aanvragen bij ons, zeker indien u twijfelt over een OpenSSL versie in een door u gebruikte client.

Wat heeft BIT gedaan nadat deze bug bekend werd?
Voor klanten die systeemonderhoud afnemen bij BIT hebben wij gezorgd dat die servers voorzien werden van OpenSSL 1.0.1g. BIT is -zover dat mogelijk is- nagegaan voor klanten die bij BIT een SSL-certificaat hebben afgenomen of zij kwetsbaar waren door deze bug. Klanten die kwetsbaar waren zijn benaderd door BIT. Klanten waarvan BIT niet heeft kunnen vaststellen dat zij kwetsbaar waren, maar wel een SSL-certificaat hebben afgenomen bij BIT zijn ook benaderd. We hebben alle door BIT gebruikte certificaten vernieuwd en vervangen, ondanks dat er geen OpenSSL gebruikt wordt op onze load balancers.