Wie im Vorfeld angekündigt wurden gestern Updates für OpenSSL veröffentlicht. Die Versionen 1.0.2g und 1.0.1s schließen
- eine Sicherheitslücke mit dem Schweregrad "high", die "DROWN" genannt wird (CVE-2016-0800),
- eine weitere mit dem Schweregrad "high" (CVE-2016-0703),
- eine mit dem Schweregrad "moderate" (CVE-2016-0704) und
- fünf mit dem Schweregrad "low" (CVE-2016-0705, CVE-2016-0798, CVE-2016-0797, CVE-2016-0799, CVE-2016-0702).
Angriffe gemäß "DROWN" nutzen die 1998 vorgestellte Bleichenbacher-Attacke, um Server über Schwächen in SSLv2 anzugreifen. Details dazu gibt es unter heise.de sowie golem.de.
Quelle: openssl.org