OpenSSL-Sicherheits-Update und Abschied von Altlasten
Im Rahmen eines Sicherheits-Updates verkündet das OpenSSL-Team, dass die Versionen 0.9.8 und 1.0.0 keine weiteren Updates mehr erhalten werden. Deren Nutzer sollten dringend auf neuere Versionen umsteigen.
Das OpenSSL-Team stellt neue Versionen der Krypto-Bibliothek bereit. Die aktualisierten Pakete OpenSSL 0.9.8zh, 1.0.0.0t, 1.0.0.1q und 1.0.2e beheben insgesamt 5 Sicherheitslücken, von denen drei als "Moderate" und zwei als "Low" eingestuft sind.
Wenig Informationen
Die konkreten Angaben zu den einzelnen Schwachstellen sind spärlich und sehr schlecht aufbereitet. So erläutert das OpenSSL Sicherheits-Advisory zwar lang und breit, dass Angriffe auf die Schwachstelle CVE-2015-3193 (Moderate) sehr schwierig und unwahrscheinlich seien. Eine Angabe dazu, was denn die Auswirkung erfolgreicher Angriff wären, fehlt jedoch. Dabei ist dies eine der wichtigen Standardangaben zur Bewertung des Risikos einer Lücke.
Bei CVE-2015-3195 heißt es lediglich "OpenSSL will leak memory"; ob das zu exzessiv erhöhtem Speicherverbrauch oder wie bei Heartbleed zur Preisgabe von Informationen an einen Angreifer führt, wird nicht erklärt. Letztlich bedeutet das für Admins wohl, dass sie die Updates auf Verdacht installieren müssen.
Alte Zöpfe
Im Security Advisory erklären die Entwickler auch in fetten Lettern, dass es voraussichtlich keine weiteren Updates für die Versionen 0.9.8 und 1.0.0 mehr geben wird. Deren Nutzer sollten also jetzt unbedingt mindestens auf Version 1.0.1 oder besser gleich auf das aktuelle 1.0.2 umsteigen. Die jetzt abgekündigten Versionen sind auch immerhin zehn beziehungsweise fünf Jahre alt. Die im März 2012 vorgestellte Version 1.0.1 war ein Meilenstein, weil sie die Unterstützung von TLS 1.2 brachte. (ju)
