Der breiten Öffentlichkeit ist OpenSSL vor allem durch die Heartbleed-Lücke bekannt, die im Vorjahr eine Art Super-GAU für verschlüsselte Internetverbindungen darstellte. Von diesem Vorfall wachgerüttelt, haben mittlerweile einige Unternehmen ihr Engagement rund um OpenSSL verstärkt, und suchen aktiv nach Problemen in der Software. Und daraus resultieren wiederum neue Berichte über Sicherheitslücken.

Fehlerhaft

Nun ist es wieder einmal so weit: Das OpenSSL-Projekt warnt vor einer kritischen Sicherheitslücke in der eigenen Software, die von Google-Entwickler David Benjamin aufgespürt wurde. Diesem war aufgefallen, dass OpenSSL beim Fehlschlagen der Prüfung einer Zertifikatskette gleich versucht eine neue aufzubauen – beim zweiten Versuch aber nicht mehr alle Eigenschaften korrekt prüft. Dadurch ist es möglich OpenSSL falsche Zertifikate unterzujubeln, um dann etwa eine Man-in-the-Middle-Attacke vorzunehmen.

Einschränkungen

Dass die Lücke trotz ihres Schweregrads nicht zu Panikstimmung im Internet führt, hat einen guten Grund: Der Fehler wurde erst vor wenigen Monaten eingeschleppt, veröffentlicht wurde ein entsprechende Version überhaupt erst Mitte Juni. Er betrifft zudem nur die 1.0.1- und 1.0.2-Reihen der Software. Unter Android, das mit BoringSSL mittlerweile einen eigenen OpenSSL-Fork nutzt, wurde das Problem nie eingeführt.

Update

Das ändert nichts daran, dass betroffene Systeme umgehend aktualisiert werden sollten. Zu diesem Zweck bieten die Entwickler mit OpenSSL 1.0.2d und 1.0.1p neue Versionen der Software im Source Code an. (apo, 9.7.2015)