Neue Releases diverser OpenSSL-Versionen beheben kleine und große Fehler.
In einem neuen Security-Advisory, über dessen Inhalt bereits Anfang der Woche spekuliert worden war, weist das OpenSSL-Projekt auf eine Reihe von Bugs hin, die in aktuellen Updates geschlossen werden. Als schwerwiegend wird ein Fehler angesehen, der bei der Neuverhandlung von Verbindungsparametern mit einer ungültigen Signatur-Algorithmen-Erweiterung zu einem Denial-of-Service-Angriff führen kann. Betroffen davon ist die OpenSSL-Version 1.0.2. Anwendern wird ein Update auf OpenSSL 1.0.2a empfohlen.
Ein schon bekannter Fehler wurde als schwerwiegend neu klassifiziert. Es handelt sich um ein Downgrade auf das RSA-Exportalgorithmen-Paket. Bisher hatten die OpenSSL-Entwickler angenommen, dieses sei nicht sehr verbreitet, aber jetzt haben sie ihre Meinung revidiert. Betroffen sind die OpenSSL-Releases 1.0.1, 1.0.0 und 0.9.8, für die es jeweils Updates gibt.
Das Security-Advisory zählt noch ein knappes Dutzend weiterer weniger schwerwiegender Fehler auf, die in den Updates der Verschlüsselungssoftware behoben sind.
Nach einem Security-Update müssen die Entwickler noch einmal nachlegen und die darin enthaltenen Fehler bereinigen.