Opgeloste Kwetsbaarheid in Erlang/OTP SSH-Server

De ontwikkelaars achter Erlang/OTP hebben recentelijk een belangrijke kwetsbaarheid aangepakt die aanwezig was in de SSH-functionaliteit van hun systeem. Deze kwetsbaarheid stelde kwaadwillenden op afstand in staat om zonder authenticatie willekeurige code uit te voeren binnen de context van de SSH-daemon, enkel door gerichte verzoeken naar het betreffende systeem te sturen.

Belangrijke Details van de Kwetsbaarheid

• Kenmerken van de Kwetsbaarheid: De kwetsbaarheid viel onder de categorie "Missing Authentication for Critical Function". Dit betekent dat er onvoldoende controles waren om ervoor te zorgen dat op cruciale momenten de identiteit van de gebruiker of applicatie gecontroleerd wordt.

• Impact: De kwetsbaarheid is ingeschaald met een "medium" kans op exploitatie, terwijl de potentiële schade als "high" wordt aangeduid. Dit betekent dat de kans gematigd is dat deze kwetsbaarheid misbruikt kan worden, maar dat de consequenties substantieel kunnen zijn indien het wel gebeurt.

Betrokken Versies en Bijgewerkte Oplossing

• Betrokken Versies: De kwetsbaarheid is aanwezig in Erlang OTP versies groter dan of gelijk aan otp-27.0-rc1 maar kleiner dan otp-27.3.3, en in versies groter dan of gelijk aan otp-26.0-rc1 maar kleiner dan otp-26.2.5.11.

• Oplossingen: Ontwikkelaars van Erlang/OTP hebben updates uitgebracht die deze kwetsbaarheid verhelpen. Het is sterk aanbevolen om de systemen te updaten naar de nieuwste versies die deze kwetsbaarheid adressen. Voor meer gedetailleerde informatie en updates, raadpleeg de security advisory van Erlang/OTP.

CVE Identificatie

Deze kwetsbaarheid is geregistreerd onder de identificatie CVE-2025-32433. Verdere informatie en technische details over deze kwetsbaarheid zijn beschikbaar via de CVE-database.

Aanvullende Advisory-informatie

Dit beveiligingsadvies is opgesteld door het Nationaal Cyber Security Centrum (NCSC). Hoewel de informatie met grote zorgvuldigheid is geformuleerd, is het mogelijk dat er onjuistheden of onvolledigheden in voorkomen. Het advies is bedoeld als algemene informatiedienst voor professionals en kan niet als volledig of actueel worden gegarandeerd. Door gebruik te maken van deze informatie erkent de gebruiker dat de NCSC en de Nederlandse Staat niet aansprakelijk zijn voor enige schade voortkomend uit het gebruik van de informatie in dit advies.

Het recht dat van toepassing is op deze verklaring is het Nederlandse recht. Eventuele geschillen zullen worden behandeld door de bevoegde rechter in Den Haag.

Dit advies is enkel bedoeld als naslagwerk en ter bewustwording voor hen die betrokken zijn bij de beveiliging en vrijwaring van IT-infrastructuur.

Een beveiligingsadvies wordt door het NCSC gepubliceerd naar aanleiding van een recent gevonden kwetsbaarheid of geconstateerde dreiging. In een beveiligingsadvies staat de beschrijving, de mogelijke gevolgen en mogelijke oplossingen van de kwetsbaarheid of dreiging.

Mitigerende maatregel beschikbaar op advisories.ncsc.nl

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.