OpenSSL schließt weitere neun Sicherheitslücken

8. August 2014, 17:57
4 Postings

Großteil wurde bei Sicherheitsüberprufungen von Google aufgespürt - Update empfohlen

Der Schock durch den Heartbleed-Bug und seine bis dato noch nicht vollständig ausgeräumten Konsequenzen für das Internet, scheint zumindest den einen oder anderen Softwarehersteller wachgerüttelt zu haben. Also gibt es nun eine neue Version von OpenSSL, die bei Codeanalysen aufgespürte Sicherheitslücken beseitigt.

Google

Sechs der neun Bugs wurden von Google entdeckt, das derzeit den Code der eigenen OpenSSL-Abspaltung BoringSSL aufräumt. Sicherheitsexperte Adam Langley betont dabei, dass in den aktuellen Lücken kein Fehler enthalten ist, der auch nur annähernd so schlimme Konsequenzen wie Heartbleed hat.

LibreSSL

Leider zeigt sich in diesem Zusammenhang auch, dass die Zusammenarbeit zwischen dem OpenSSL-Fork LibreSSL und dem Originalprojekt de fakto nicht vorhanden ist. Handelt es sich bei einem der von Langley aufgespürten Probleme doch um einen Bug, der von LibreSSL bereits vor einigen Wochen bereinigt aber nicht weitergemeldet wurde.

Update

Das OpenSSL-Projekt empfiehlt allen Betroffenen das Update auf die neuen Versionen der Software. Konkret sind jetzt 0.9.8zb, 1.0.0n und 1.0.1i aktuell. (apo, derStandard.at, 8.8.2014)

Share if you care.