Kwetsbaarheid in OpenSSL geconstateerd woensdag 30 april 2014 / Categorieën: Niet-leden Op 7 april 2014 is er een serieuze kwetsbaarheid in de programmeerbibliotheek van OpenSSL geconstateerd (de Heartbleed kwetsbaarheid). Een eventuele hacker kan dan geheime sleutels en certificaten achterhalen. Ook andere gevoelige informatie zoals wachtwoorden en klantgegevens kunnen worden achterhaald. Maakt u gebruik van OpenSSL op uw webserver, dan is het belangrijk dat u een aantal stappen onderneemt. Voor wie geldt dit probleem? Een klein deel van de UZI-klanten maakt gebruik van OpenSSL op hun webserver. Wanneer u een of meer servercertificaten heeft en via openSSL in directe verbinding met het internet staat, kan het zijn dat uw server kwetsbaar geworden is voor een hackaanval. Wij informeren u hieronder kort over de stappen die u kunt nemen. Wat kunt u doen? - Neem zo snel mogelijk contact op met uw software of ICT-leverancier. - Inventariseer of u op uw server(s) een kwetsbare versie van OpenSSL gebruikt. Op www.heartbleed.nl vindt u Q&A`s (Engelstalig) en informatie over welke OpenSSL versies en veelgebruikte serversoftware het gaat. - Inventariseer welke geheime sleutels van certificaten worden gebruikt op een kwetsbare server. - Upgrade alle servers met een kwetsbare versie van OpenSSL naar een versie die niet meer kwetsbaar is. - Is upgraden niet mogelijk, compileer OpenSSL dan zonder ondersteuning voor de heartbeat-functionaliteit. - Genereer nieuwe geheime sleutels en vraag nieuwe certificaten aan voor alle sleutels die mogelijk gecompromitteerd zijn. Let op! Vervanging is alleen nodig als er geen Hardware Security Module (HSM) is toegepast om de cryptografische sleutels te beschermen. - Vervang deze sleutels en certificaten door nieuwe exemplaren op servers met een geüpgrade versie van OpenSSL. - Laat uw certificaatleverancier de certificaten intrekken die u zojuist vervangen heeft. Een UZI-servercertificaat kunt zelf direct online intrekken. Meer informatie Bij de NCSC vindt u o.a. een factsheet met meer detailinformatie over de Heardbleed kwetsbaarheid. Ook uw software- of ICT leverancier kan u meer vertellen of uw vragen beantwoorden. Bij het UZI-register kunt u indien nodig een nieuw UZI-servercertificaat aanschaffen Bron: www.uziregister.nl Vorige artikel Zorginkoop: scherper of schever? Volgende artikel Brandbrief Paramedisch Platform: afschaffing hinderpaalcriterium slecht voor patiënt en zorgaanbieder