Kritischer OpenSSL-Patch voraus

Mit einer kurzen Notiz verkündet Mark J. Cox, dass man Donnerstag, den 9. Juli, ein Sicherheits-Update für OpenSSL veröffentlichen wolle. Dies sei der höchsten Sicherheitsstufe zuzurechnen (high). Das bedeutet, dass gängige Konfigurationen betroffen sind und die Lücke sich wahrscheinlich ausnutzen lässt, um Denial-of-Service-Angriffe durchzuführen, Daten zu klauen oder sogar betroffene System zu kapern.

Die Lücke betrifft die OpenSSL-Versionen 1.0.2 und 1.0.1; die ebenfalls noch unterstützten und verbreiteten Vorgänger OpenSSL 0.9.8 und 1.0.0 sind offenbar nicht anfällig. Weitere Angaben zur Natur der Schwachstelle macht das OpenSSL-Team nicht. Allerdings gehören solche Vorab-Warnungen nicht zur normalen Vorgehensweise; in der Vergangenheit bedeuteten sie in der Regel tatsächlich, dass etwas Größeres bevorsteht. Insbesondere Server-Admins sollten sich den Termin also vormerken. (ju)