De populaire SSL-library OpenSSL heeft verschillende bugs gefixt, waaronder een kritiek gat waardoor hackers een beveiligde verbinding kunnen kraken. Wat blijkt? Vanaf de allereerste versie voert OpenSSL geen correcte controle uit op de zogenaamde ChangeCipherSpec (CCS) tijdens de handshake tussen client en server, meldt ontdekker Masashi Kikuchi.

Daardoor is het systeem vatbaar voor een Man-in-the Middle (MITM) aanval die de handshake kan manipuleren en zo de verbinding ontsleutelen. Alle client-versies van OpenSSL zijn kwetsbaar, maar alleen serverversies OpenSSL 1.0.1 en 1.0.2-beta1 zijn bewezen kwetsbaar, aldus de organisatie achter OpenSSL, die inmiddels patches beschikbaar heeft.

Geen grondige review

Toch constateert Kikuchi dat de bug er altijd al inzat, en er door de jaren heen talloze mogelijkheden waren om die te ontdekken. Dat de kwetsbaarheid desondanks pas recentelijk is ontdekt wijt hij dan ook aan gebrekkige review van de OpenSSL-code. Diezelfde kritiek was te horen na de onthulling van het "grootste internetgat ooit" in Open SSL, gedoopt tot Heartbleed.

Lees verder over de nasleep van Heartbleed: Leg de schuld van Heartbleed niet bij open source