OpenSSL-Updates - diesmal nicht ganz so schlimm
Die OpenSSL-Entwickler beseitigen neun Sicherheitslücken, die meisten von Google-Forschern entdeckt. Allerdings ist diesmal nichts wirklich dramatisches dabei.
Insgesamt neun Sicherheitslücken sollen die soeben veröffentlichten OpenSSL-Versionen fixen. "Nichts so schlimmes wie die letzten Probleme" bilanziert Adam Langley, der den Crypto-Code in Googles Chrome verantwortet und selber vier davon entdeckt und bei OpenSSL gemeldet hat.
Offenbar hat Google seine Heartbleed-Lektion gelernt und investiert jetzt mehr Ressourcen in systematische Checks der Krypto-Bibliothek, die zukünftig auf allen Plattformen zum Einsatz kommen soll. Die beim Aufräumen im eigenen OpenSSL-Fork BoringSSL gefundenen Fehler melden Googles Security-Experten den Entwicklern des Originals. Allein bei sechs der neun aktuellen Bugs verweisen die OpenSSL-Entwickler auf Google als Entdecker.
Der Informationsfluss zwischen dem LibreSSL-Team und OpenSSL scheint hingegen nachhaltig gestört. LibreSSL ist ein Fork des OpenBSD-Teams, das nach Heartbleed den OpenSSL-Code gründlich ausmisten und die Verschlüsselung auf eine sichere Basis stellen will. Zumindest eine der Lücke war anscheinend in LibreSSL bereits früher erkannt und behoben worden – aber nicht an die OpenSSL-Entwickler gemeldet sondern von Adam Langley unabhängig neu entdeckt und gefixt worden.
Die neuen OpenSSL-Versionen sind 0.9.8zb, 1.0.0n und 1.0.1i; die Linux-Distributoren werden wohl demnächst entsprechende Pakete ausliefern. Basis-Informationen zu den einzelnen Fehlern liefert ein Security-Advisory der Entwickler. (ju)
