Neue Versionen schließen insgesamt 14 Sicherheitslücken der Kryptobibliothek OpenSSL. Laut den Entwicklern stellt eine davon ein hohes Risiko für betroffene Server dar. Das Risiko bei einer anderen Lücke wird als moderat eingeschätzt. Die anderen Lücken haben die niedrigste Prioritätsstufe. Über die Lücken haben die Angreifer die Möglichkeit den Server lahmzulegen. Schadcode ausführen ist nicht möglich.

Die OpenSSL-Installationen sollten von den Administratoren so schnell wie möglich aktualisiert werden. Abhängig vom Entwicklungszweig sollten die Systeme auf OpenSSL 1.1.0a, 1.0.2i oder 1.0.1u umgestellt werden. Die Updates werden bei Linux-Systemen in der Regel über die Repositories der entsprechenden Distribution verteilt. Über die Website des OpenSSL-Projektes kann der Quellcode der neuen Versionen heruntergeladen werden.

In einem Security Advisory der Entwickler finden sich weitere Details zu den geschlossenen Lücken.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE