Training

Lucky 13 - wieder ein OpenSSL Leck

20.7.2016 Das OpenSSL Projekt kommt nicht zur Ruhe - es gibt erneut 6 Sicherheitslücken - die Patches sollten sofort eingespielt werden.

Bei den beiden kritischen Lücken handelt es sich um:

  • CVE-2013-0169 Diese unter dem Namen Lucky 13 Lücke bekanntgewordene Schwachstelle wurde nicht komplett behoben - dies wurde jetzt behoben.
  • CVE-2016-2107 Gemeinsam mit der nicht ganz behobenen Lucky 13 Lücke macht diese Sicherheitslücke bei Servern, die AES-CDC als Cipher einsetzen einen neuen Angriff möglich.

Behoben sind die Lücken in folgenden Versionen:

  • OpenSSL 1.0.1t
  • OpenSSL 1.0.2h
  • OpenSSL 1.1.0-pre5

Wie üblich wird es einige Tage / Wochen dauern, bis alle Distributionen diese Patches zur Verfügung stellen.

Weitere Informationen und den Download finden Sie hier.