Het is ook in het nieuws geweest, hoewel daar niet helemaal correct uitgelegd.... misschien hebben jullie dus al iets vernomen over een bug in SSL, genaamd Heartbleed. Via de bug kan je in het ultieme geval de sleutels bemachtigen van de SSL communicatie, waardoor je kunt meelezen of je kunt voordoen als een legitieme server.
De fout is ontstaan bij versie 1.0.1 en nu pas ontdekt (na 2 jaar). Het heeft wel gevolgen voor servers die met deze OpenSSL implementatie werken.
Graag informeer ik jullie daarover en wat wo2forum.nl er aan doet, het gaat tenslotte om jullie privacy.
Wij maken gebruik van een Apache webserver in combinatie met OpenSSL en zijn dus kwetsbaar geweest voor deze bug. Gisterenochtend (8 april) hebben we de server voorzien van een patch en geactiveerd (we waren even vijf minuten niet bereikbaar hierdoor), zodat er geen verder misbruik kan worden gemaakt van de betreffende bug.
Vandaag zijn de eerste pogingen tot misbruik van de bug gesignaleerd op het internet. We waren er dus op tijd bij, maar voor de zekerheid hebben we als extra maatregel vanmiddag de sleutels (private en public) vervangen met nieuwe exemplaren, voor het geval dat er toch misbruik gemaakt zou zijn van de bug.
Heartbleed
- Proos
- Technisch beheerder
- Berichten: 8132
- Lid geworden op: 28 jan 2002, 17:25
- Gegeven: 14 keer
- Ontvangen: 35 keer
- Contacteer:
Heartbleed
Those who cannot remember the past are condemned to repeat it. ~ George Santayana (1863-1952), The Life of Reason, Volume 1, 1905
Steun het forum | Forumregels | Gebruiksovereenkomst | FAQ | Zoek een moderator
Steun het forum | Forumregels | Gebruiksovereenkomst | FAQ | Zoek een moderator
- stekker
- Lid
- Berichten: 144
- Lid geworden op: 18 dec 2010, 22:12
-
- Lid
- Berichten: 112
- Lid geworden op: 08 okt 2012, 15:42
- Locatie: Omgeving Rotterdam
- Kugelblitz
- Moderator
- Berichten: 3733
- Lid geworden op: 02 apr 2008, 14:12
- Gegeven: 6 keer
- Ontvangen: 10 keer
-
- Lid
- Berichten: 2345
- Lid geworden op: 09 jan 2012, 23:14
- Gegeven: 33 keer
- Ontvangen: 35 keer
- roadmaster
- Lid
- Berichten: 98
- Lid geworden op: 29 nov 2006, 16:26
- Locatie: Someren
- Proos
- Technisch beheerder
- Berichten: 8132
- Lid geworden op: 28 jan 2002, 17:25
- Gegeven: 14 keer
- Ontvangen: 35 keer
- Contacteer:
Re: Heartbleed
Om het heel precies te maken: het gaat om een bug in OpenSSL die ongeveer twee jaar geleden is ontstaan, maar wij gebruiken pas sinds september voor de hele site (en een paar maanden daarvoor nog alleen voor de inlog- en registratiepagina) SSL. Voor die tijd hadden we geen SSL (= https, het hangslotje) en ging informatie sowieso ongecodeerd over de lijn. Met of zonder bug mee te lezen als iemand de verbinding weet te onderscheppen. We zien de laatste tijd meer sites overschakelen op SSL om die reden.thunderbird schreef:Dus we zijn 2 jaar lang opengestaan voor een bad bug
Mooi dat dit hersteld is
Deze bug is trouwens internationaal een probleem: leden die bijzonder op hun privacy en veiligheid zijn gesteld raad ik aan om het wachtwoord voor de zekerheid te wijzigen. Verander ook je wachtwoord van sommige andere sites, waaronder Facebook, Dropbox, Google, etc, zie:
http://lifehacker.com/this-list-reveals ... 1561755048
Those who cannot remember the past are condemned to repeat it. ~ George Santayana (1863-1952), The Life of Reason, Volume 1, 1905
Steun het forum | Forumregels | Gebruiksovereenkomst | FAQ | Zoek een moderator
Steun het forum | Forumregels | Gebruiksovereenkomst | FAQ | Zoek een moderator