Beste klant/collega,

(Is dit bericht niet goed leesbaar? Bekijk dan de online versie.)

Op 8 december is in OpenSSL een kwetsbaarheid gevonden die gebruikt kan worden om een denial of service attack mee uit te voeren. Omdat deze door OpenSSL ingeschaald wordt als “Severity High” voeren de de patch hiervoor versneld door op de hostingdiensten die het internet raken (te weten: nginx, apache, bind, unbound, postfix, ssh en icecast) Op woensdag 9 december, in de loop van de middag zullen deze updates doorgevoerd worden. De updates hebben geen impact op de dienstverlening en er is aan uw kant geen actie vereist.

OpenSSL wordt overigens door diverse andere diensten ook gebruikt (denk aan php, ruby, node-js, openldap, syslog, e.d.) maar omdat die in onze omgeving niet direct vanaf het internet te benaderen zijn lopen deze nu geen risico en kunnen die later met de maandelijkse standaard updates mee.

Dan is er nog OpenSSH. Dat hangt wél zichtbaar aan het internet, maar daar hebben we er ooit voor gekozen om geen OpenSSL maar LibreSSL te gebruiken. In LibreSSL is echter precies dezelfde kwetsbaarheid gevonden, dus we nemen OpenSSH ook mee in deze ronde.