Cisco patcht glibc- en DROWN-gaten

Vele tientallen LAN-onderdelen, consoles en andere componenten dichtgetimmerd.

Cisco brengt een tweetal patches uit voor twee high-profile kwetsbaarheden van de afgelopen maand: de SSL-downgradeaanval DROWN en de kwetsbaarheid in de GNU C Library.

De eerste patch repareert het gat dat vorige maand werd ontdekt in GNU's C-library (glibc) en is van toepassing op enkele tientallen Cisco-producten, van Intrustion Prevention System-onderdelen tot netwerkswitches. In deze advisory staan ze allemaal opgesomd.




De kwetsbaarheid in glibc werd samen met de onthulling gepatcht door grote Linux-partijen als Red Hat en Google, en momenteel volgen patches van allerlei hardware- en softwarefabrikanten die de bewuste C-library hanteren.

Down met DROWN

De tweede patch is voor het DROWN-gat waarmee aanvallers een SSL- of TLS-verbinding kunnen downgraden naar een oudere, onveilige versie. Het gat is een erfenis van het 20ste eeuw-concept van Export Grade-encryptie, waarbij de Amerikaanse overheid greep hield op RSA-versleuteling en in het thuisland sterker beveiligde encryptie hanteerde.

Het goede nieuws is dat de aangevallen server zowel TLS als SSLv2 als EXPORT_GRADE-sleutels moet ondersteunen. Het gebruik van die sleutels wordt al jaren afgeraden en SSLv2 zou ook allang afgedaan moeten hebben. Cisco repareert het DROWN-gat nu voor een flinke reeks apparaten en software met deze patch.