OpenSSL schließt zwei kritische Lücken
Das OpenSSL-Projekt hat die letzte Woche angekündigten Versionen 1.0.2h und 1.0.1t der Krypto-Bibliothek veröffentlicht. Sie schließen sechs Sicherheitslücken, zwei davon sind mit der Priorität „hoch“ versehen. Eine der beiden Lücken geht auf den Fix für den Lucky-13-Angriff von Anfang 2013 zurück (CVE-2013-0169). Die andere wichtige Sicherheitsmeldung betrifft OpenSSL-Versionen, die vor April 2015 veröffentlicht wurden. Das Sicherheitsproblem ist eine Kombination aus einer alten und einer neuen Lücke. Die alte Lücke wurde am 18. April 2015 im Quellcode behoben und der Fix wurde in die Releases vom 11. Juni 2015 integriert. Demnach sind alle Versionen ab OpenSSL 1.0.2c und 1.0.1o dagegen gefeit. Bis zum 31. März 2016 war den Entwicklern nicht bekannt, dass dieser Bugfix in Kombination mit einer weiteren Lücke für Angriffe ausgenutzt werden konnte. Diese neue Lücke wurde nun ebenfalls geschlossen.
Weitere Informationen finden Sie auf heise.de