Skip to main content

Heartbleed-bug

Gerelateerde fout

"Deze server is kwetsbaar voor Heartbleed. Upgrade naar de nieuwste versie van OpenSSL, vervang het certificaat op uw webserver of apparaat en reset eindgebruikerswachtwoorden die mogelijk zichtbaar waren in een aangetast servergeheugen."

Probleem

De Heartbleed-bug zit in de heartbeat-uitbreiding van de OpenSSL-cryptografische bibliotheek. De cryptografische bibliotheken in OpenSSL-versies 1.0.1 tot en met 1.0.1f en 1.0.2-beta1 zijn kwetsbaar voor deze aanval. De kwetsbaarheid voor de Heartbleed-bug is een zwak punt in de cryptografische bibliotheek van OpenSSL, waardoor een aanvaller toegang kan krijgen tot gevoelige informatie die normaal wordt beschermd door de SSL- en TLS-protocollen.

Let op

OpenSSL is een open-source toolkit die de protocollen Secure Sockets Layer (SSL) en Transport Security Layer Security (TLS) implementeert. De toolkit bevat een cryptografische bibliotheek die cryptografische functies gebruikt en verschillende hulpprogramma's biedt. Deze cryptografische bibliotheek wordt gewoonlijk geïmplementeerd door servers op internet om een groot deel van het internetverkeer te beveiligen.

Een aanvaller kan de aanval van de Heartbleed-bug gebruiken om toegang te krijgen tot:

  • Encryptiesleutels

    De aanvaller kan deze sleutels gebruiken om eerdere en toekomstige beveiligde communicatie met uw website te ontsleutelen en zich op elk moment voor uw website uit te geven.

  • Gebruikersgegevens

    De aanvaller kan de gebruikersnamen en wachtwoorden van uw klanten gebruiken om toegang te krijgen tot hun informatie die is beveiligd door uw website.

  • Beschermde inhoud

    De aanvaller heeft toegang tot persoonlijke of financiële gegevens, privécommunicatie (e-mail of instant messages) en documenten.

  • Ondersteunend materiaal

    De aanvaller kan toegang krijgen tot gelekte geheugeninhoud, zoals geheugenadressen en beveiligingsmaatregelen.

Oplossing

Patchsoftware

Wanneer u uw omgeving beveiligt tegen de Heartbleed-bug, moet u OpenSSL patchen op servers met kwetsbare versies van OpenSSL en software die getroffen versies van de OpenSSL-bibliotheek gebruikt.

Upgrade naar de nieuwste versie van OpenSSL (versie 1.0.1g of hoger).

  • Servers

    Controleer pakketbeheer op een bijgewerkt OpenSSL-pakket en installeer dat. Als u geen bijgewerkt OpenSSL-pakket heeft, haalt u de nieuwste versie van OpenSSL op bij uw serviceprovider.

  • Software

    Controleer of er softwarepatches zijn uitgebracht om de Heartbleed Bug-kwetsbaarheid te verhelpen en installeer deze. Als u geen softwarepatches heeft, neem dan contact op met uw softwareleverancier om de nieuwste patch te verkrijgen en deze te installeren.

Opmerking

Mogelijk moet u uw software opnieuw opstarten nadat deze is gepatcht om ervoor te zorgen dat de OpenSSL-bibliotheek opnieuw wordt ingesteld en dat de Heartbleed-bug uit het cachegeheugen wordt verwijderd.

Als u niet kunt upgraden naar de nieuwste versie van OpenSSL:

  • Zet OpenSSL terug naar versie 1.0.0 of eerder.

  • Hercompileer OpenSSL met de OPENSSL_NO_HEARTBEATS-vlag.

Controleren of kwetsbaarheden zijn gepatcht

Gebruik DigiCert Discovery om uw omgeving opnieuw te scannen om ervoor te zorgen dat u niet langer kwetsbaar bent voor een aanval van de Heartbleed-bug.

Certificaten opnieuw toetsen, opnieuw uitgeven en installeren

  • Voer alle certificaten op uw getroffen servers opnieuw in en geef ze opnieuw uit. Zorg ervoor dat u bij het opnieuw uitgeven van certificaten nieuwe certificaatondertekeningsaanvragen (CSR's) genereert. Zie Een CSR maken.

  • Nadat servers en software zijn gepatcht (en pas nadat ze zijn gepatcht), installeert u uw opnieuw uitgegeven certificaten.

Vervangen certificaten intrekken

Nadat u opnieuw uitgegeven certificaten heeft geïnstalleerd, moet u de vervangen certificaten intrekken. Neem contact op met uw certificeringsinstantie om uw certificaten ingetrokken te krijgen.

Voor DigiCert-klanten is e-mailondersteuning beschikbaar. Zorg ervoor dat u het ordernummer van uw certificaat vermeldt samen met een korte beschrijving van wat u wilt intrekken.

Wachtwoord opnieuw instellen

Als uw servers wachtwoorden accepteren, moet u ook uw klanten hun wachtwoorden laten resetten, maar alleen nadat servers en software zijn gepatcht en certificaten opnieuw zijn gecodeerd, opnieuw uitgegeven, geïnstalleerd en ingetrokken.

Let op

Als klanten hun wachtwoord resetten voordat servers of software zijn gepatcht en certificaten opnieuw worden gecodeerd, opnieuw uitgegeven, geïnstalleerd en ingetrokken, blijven hun wachtwoorden zichtbaar. Ze moeten hun wachtwoord opnieuw instellen.

In deze sectie: