Seit Tagen kursieren Andeutungen, dass schon bald wieder neue kritische Sicherheitslücken in OpenSSL öffentlich werden sollen. Ganz so schlimm ist es jetzt zwar nicht geworden, für Systemadminstratoren ist trotzdem wieder einmal Update-Zeit.

Aufteilung

Insgesamt 14 Sicherheitslücken schließen die Entwickler der Kryptobibliothek mit neuen Versionen ihrer Software. Zwei davon sind mit der Einstufung "hoch" versehen. Darunter ein Fehler, der lediglich in OpenSSL 1.0.2 zu finden ist und für eine Denial of Service-Attacke genutzt werden kann.

Freak

Bei der zweiten großen Lücke der aktuellen Update-Runde handelt es sich genau genommen um gar keine neue. Geht es hier doch um jene "Freak" genannte Lücke, die bereits vor einigen Wochen öffentlich wurde. Diese wurde aber bereits mit dem letzten OpenSSL-Update geschlossen, mit der aktuellen Version hat man nur die Gefährdungseinschätzung erhöht.

Updates

Die restlichen Lücken wurden allesamt mit der Einschätzung "moderat" bis "niedrig" versehen. Ein Update ist natürlich trotzdem anzuraten. Zu diesem Zweck haben die Entwickler neue Versionen für alle aktuell unterstützen Generationen der Kryptobibliothek veröffentlicht. Konkret sind das OpenSSL 1.0.2a, 1.0.1m, 1.0.0r und 0.9.8zf. Die ersten Linux-Distributionen haben auch bereits mit der Auslieferung entsprechender Updates begonnen. (apo, derStandard.at, 19.3.2015)