Kritischer OpenSSL-Bug entdeckt, neue Versionen am 09. Juli
von caschy | 11 Kommentare
Administratoren dürfen sich schon einmal mental in die Richtung ihrer Server begeben und Software-Hersteller die nächsten Updates einplanen – es existiert wieder ein OpenSSL-Bug. OpenSSL erreichte auch die Nicht-Techies in den Medien, das Stichwort Heartbleed dürfte noch allen in Erinnerung sein. Das OpenSSL-Team wird am 09. Juli die neuen Versionen 1.0.2d und 1.0.1p veröffentlichen. Die neuen Versionen werden eine Sicherheitslücke schließen, der Schweregrad des Bugs liegt dabei auf „Hoch“. Genaue Details wurden sicherlich aus Sicherheitsgründen momentan nicht bekannt gegeben, dürften aber mit der Verfügbarkeit der neuen Versionen veröffentlicht werden. Nutzer, die Version 1.0.0 oder 0.9.8 einsetzen, sollen derweil nicht betroffen sein. Damit dürfte auch das Update für diverse NAS-Lösungen mal wieder angebracht sein, diverse Kisten setzen auch auf OpenSSL, beispielsweise Synology. Die setzen derzeit auf die Version 1.0.1o. (danke Patrik!)
Wird geladen ...
Mit Linux und open source wäre das nicht passiert, da lesen ja Millionen Leute immer den Quellcode…
@Sibu: Joa, der Bug wurde doch ohne großen Skandal ausfindig gemacht und fix behoben. Und nu?
@ Sibu Sowas behaupten nur Windows-Trollle die sich als Linux-Trolle ausgeben 😉
Ich will garnicht wissen wieviele ungepatchte kritische Sicherheitslücken Windows hat ohne die garantierten Backdoors mitzuzählen.
Hinzu kommt, dass deine Aussage sowieso fürn Arsch ist… stell dir vor man würde für jede Sicherheitslücke in Adobe Flash oder andere Closed-Source Software, Microsoft verantwortlich dafür machen weils auch Closed-Source ist.
Windows-trolle machen das nämlich mit Linux. Linux muss immer die Rübe herhalten für andere Open-Source Projekte 😉
OpenSSL ist mehrere Probleme, eins ist das man nicht genug Leute haben und zweitens weil es Katastrophal zusammengeschustert wurde (die Konsequenz aus 1.).
OpenSSL ist katastrophal von Sourcecode her, hat einige massive Designschwierigkeiten und ist gnadenlos schlecht geschrieben. Es gucken deswegen dort sowenige in den Sourcecode weil sich so oder so nur 2-3 Leute dort hineinfinden, der Basiert ja auf keiner Programmiersprache sondern bildet seinen eigenen Slang.
Deswegen sollte man auch zumindest LibreSSL benutzen statt OpenSSL, da wurde die gröbsten Sachen ausgemistet (Win 3.0 Support und solche Sachen, das nur sichere Schlüssel erzeugt werden können etc ….)
wo bleibt den nur das versprochene update ???
Zeitzone ist das Stichwort, denke ich mal 🙂
ok dann harren wir der dinge die da noch kommen werden….
Die Lücke ist jetzt bekanntgegeben worden. Es handelt sich um eine Möglichkeit die Prüfung von Zertifikaten unter Umständen zu umlaufen.
Genaueres hier: https://www.openssl.org/news/secadv_20150709.txt
Und gerade schon das Update auf 1.0.1p eingestellt. Oh halt, durfte ich das schon? Ist ja noch gar nicht der 2. Dienstag im Monat!
Tz tz tz. Immer diese Autokorrektur. Eingespielt, nicht eingestellt.