Bei den beiden kritischen Lücken handelt es sich um:

• CVE-2013-0169 Diese unter dem Namen Lucky 13 Lücke bekanntgewordene Schwachstelle wurde nicht komplett behoben - dies wurde jetzt behoben.
• CVE-2016-2107 Gemeinsam mit der nicht ganz behobenen Lucky 13 Lücke macht diese Sicherheitslücke bei Servern, die AES-CDC als Cipher einsetzen einen neuen Angriff möglich.

Behoben sind die Lücken in folgenden Versionen:

• OpenSSL 1.0.1t
• OpenSSL 1.0.2h
• OpenSSL 1.1.0-pre5

Wie üblich wird es einige Tage / Wochen dauern, bis alle Distributionen diese Patches zur Verfügung stellen.

Weitere Informationen und den Download finden Sie hier.