Training
Lucky 13 - wieder ein OpenSSL Leck
20.7.2016 Das OpenSSL Projekt kommt nicht zur Ruhe - es gibt erneut 6 Sicherheitslücken - die Patches sollten sofort eingespielt werden.
Bei den beiden kritischen Lücken handelt es sich um:
- CVE-2013-0169 Diese unter dem Namen Lucky 13 Lücke bekanntgewordene Schwachstelle wurde nicht komplett behoben - dies wurde jetzt behoben.
- CVE-2016-2107 Gemeinsam mit der nicht ganz behobenen Lucky 13 Lücke macht diese Sicherheitslücke bei Servern, die AES-CDC als Cipher einsetzen einen neuen Angriff möglich.
Behoben sind die Lücken in folgenden Versionen:
- OpenSSL 1.0.1t
- OpenSSL 1.0.2h
- OpenSSL 1.1.0-pre5
Wie üblich wird es einige Tage / Wochen dauern, bis alle Distributionen diese Patches zur Verfügung stellen.
Weitere Informationen und den Download finden Sie hier.