Wie zentral OpenSSL für die Sicherheit der weltweiten Server-Infrastrukur ist, wurde einer weiteren Öffentlichkeit vor allem durch die Heartbleed-Lücken bekannt. Nun gibt es einmal mehr Sicherheitslücken in der Software zu berichten, ganz so dramatisch fallen sie aber dieses Mal nicht aus.

Sammel-Update

Mit dem aktuellen Update schließt OpenSSL insgesamt 14 Sicherheitslücken. Eine davon ist mit der Warnstufe "hoch" versehen, da sie für Denial-of-Service-Attacken ausgenutzt werden kann. Durch große OSCP Status Requests wächst der Speicherverbrauch des betroffenen Servers immer weiter an, bis dieser nicht mehr reagiert. Voraussetzung ist natürlich, dass der Server die OSCP Extension überhaupt nutzt.

Die restlichen Lücken wurden mit einer mittleren oder niedrigen Gefährdungsstufe versehen. Allesamt werden sie in der neuesten Update-Runde behoben, die Systemadminstratoren bald einspielen sollten. Die veröffentlichten Updates tragen die Versionsnummern 1.1.0a, 1.0.2i und 1.0.1u. (apo, 22.9.2016)