Digital Life
03.05.2016

Neue OpenSSL-Version behebt kritische Sicherheitslücke

Am Dienstag wurde die jüngste Version von OpenSSL veröffentlicht, die eine kritische Sicherheitslücke und mehrere ältere Bugs behebt.

Der sogenannte „Padding Oracle“-Angriff, beziehungsweise eine Neuauflage davon, soll durch die neuen OpenSSL-Versionen 1.0.2h und 1.01t geschlossen werden. Das gaben Entwickler von OpenSSL am Dientag bekannt.

Der „Padding Oracle“-Angriff wurde vom Sicherheitsforscher Juraj Somorovsky aufgedeckt und bedeutet, dass der Code für das Prüfen der „Padding-Bytes“ in einem bestimmten Modus nicht korrekt arbeitet.

Mit Poodle und dem Lucky-Thirteen-Angriff gab es immer wieder neue Varianten des Problems. Auch wenn der Bug in nur relativ speziellen Situationen ausnutzbar ist, sollte OpenSSL dennoch auf jeden Fall auf die neue Version upgedatet werden. Es werden damit auch ein paar weniger kritische, ältere Bugs gefixt.