16 apr

Belangrijke Heartbleed update voor VMware

VMware heeft geconstateerd dat maar liefst 27 producten getroffen zijn door het Heartbleed probleem, waardoor alle data via beveiligde (SSL) verbindingen alsnog af te luisteren valt. Komende zaterdag (19 april 2014) geeft VMware de cruciale update vrij en wordt beheerders verzocht direct te updaten. VMware adviseert onder andere vSphere-componenten niet openbaar op het internet te laten en virtuele machines eerst te updaten, voordat deze online beschikbaar worden gemaakt.

Naast het updaten dienen de certificaten te worden vervangen en wachtwoorden moeten worden gereset. De officiële verklaring van VMware valt hier te lezen.

De volgende producten met OpenSSL 1.0.1 zijn getroffen:

  • ESXi 5.5
  • NSX-MH 4.x
  • NSX-V 6.0.x
  • NVP 3.x
  • vCenter Server 5.5 (inclusief VMware Big Data Extensions 1.x)
  • vFabric Web Server 5.0.x – 5.3.x
  • VMware Fusion 6.0.x
  • VMware Horizon Mirage Edge Gateway 4.4.x
  • VMware Horizon View 5.3 Feature Pack 1
  • VMware Horizon View Client for Android 2.1.x, 2.2.x, 2.3.x
  • VMware Horizon View Client for iOS 2.1.x, 2.2.x, 2.3.x
  • VMware Horizon View Client for Windows 2.3.x
  • VMware Horizon Workspace 1.0
  • VMware Horizon Workspace 1.5
  • VMware Horizon Workspace 1.8
  • VMware Horizon Workspace Client for Macintosh 1.5.1
  • VMware Horizon Workspace Client for Macintosh 1.5.2
  • VMware Horizon Workspace Client for Windows 1.5.1
  • VMware Horizon Workspace Client for Windows 1.5.2
  • VMware Horizon Workspace for Macintosh 1.8
  • VMware Horizon Workspace for Windows 1.8
  • VMware OVF Tool 3.5.0
  • VMware vCloud Automation Center (vCAC) 6.x
  • VMware vCloud Networking and Security (vCNS) 5.1.3
  • VMware vCloud Networking and Security (vCNS) 5.5.1
08 apr

Waarschuwing: Ernstig (server) SSL lek

Vannacht is naar buiten gebracht dat het populaire OpenSSL een ernstig lek bevat in veelgebruikte versies, waardoor beveiligde verbindingen (technisch bekend als SSL verbinding) niet meer veilig is en gegevens onderschept kunnen worden.

Dit probeer dermate ernstig dat het per direct grote hoeveelheden beveiligde verbindingen blootstelt, aangezien de bug in de kern van OpenSLL zit.

Beheerders van servers dienen zo snel als mogelijk hun servers te updaten met de laatste packages voor hun besturingssysteem en

Wilt u testen of een beveiligde site (elke url welke met https:// begint) momenteel onderhevig is aan het lek? Test hier een site op het ‘Heartbleed’ SSL lek.

08 apr

Heartbleed OpenSSL bug (opgelost)

Status: Storing (gesloten) Storing begin: 08-04-2014
Storing eind: 17:00
Datum: 8 april 2014
Omschrijving: Vannacht is bekend geworden dat in Open SSL een ernstig lek gevonden is. Omdat de bug het mogelijk maakt om ontsleutelde data uit te lezen en gegevens te onderscheppen, is het mogelijk dat kwaadwillenden sessies op sites met privacygevoelige gegevens hebben onderschept.Meer informatie:
http://heartbleed.com/
http://tweakers.net/nieuws/95271/bug-openssl-maakt-onderscheppen-privacygevoelige-gegevens-mogelijk.html
Impact op: Klanten met een eigen Unix server bij Previder die gebruik maken van OpenSSL. Windows servers worden niet door deze bug getroffen.
Actie: Wij begrijpen de impact hiervan en zijn momenteel druk bezig om te achterhalen welke klanten exact getroffen zijn door deze bug. Hierna zullen wij de getroffen machines zo spoedig mogelijk patchen om de impact van deze bug weg te nemen.Middels dit bericht zullen we u op de hoogte houden van de voortgang.
Update: [8 april – 16:56 uur]

We hebben alle door ons uitgeleverde certificaten gecontroleerd en contact opgenomen met de klanten die getroffen werden door deze bug. Klanten met een wildcard certificaat zullen zelf moeten controleren of zij getroffen zijn aangezien we in veel gevallen niet kunnen controleren wat er precies aan het certificaat gekoppeld is.Zelf controleren of uw website of dienst getroffen wordt door deze bug doet u via http://filippo.io/Heartbleed. Indien we u kunnen assisteren dan horen wij dat graag.

08 apr

OpenSSL lek “heartbleed”

Er is een kritisch OpenSSL lek ontdekt. Door middel van dit lek kunnen kwaadwillende onder andere de private key achterhalen en de encryptie omzeilen. OpenSSL wordt gebruikt voor encryptie van data wat over het internet verstuurd word, zoals https verkeer en email. OpenSSL versies 1.0.1f t/m 1.0.2-beta1 en 1.0.2-beta zijn kwetsbaar. Denit heeft alle servers die over een update/beheer contract beschikken inmiddels gepatched. Meer informatie over deze bug kunt u lezen op http://www.heartbleed.com/.

Tevens heeft Denit nieuwe SSL certificaten voor *.denit.net en denit.nl geïnstalleerd.

Omdat Denit security updates altijd nauwkeurig in de gaten houdt, hebben wij erg snel actie kunnen ondernemen. We hebben geen aanwijzingen dat er actief gebruik is gemaakt van het lek en met het afgeronde spoedonderhoud is dit ook in de toekomst niet meer mogelijk.