Die Macher der Verschlüsselungsbibliothek OpenSSL haben Updates veröffentlicht, mit denen ein kritisches Sicherheitsleck geschlossen wird. Wie in einem
Security Advisory mitgeteilt wird, wird das sogenannte CA-Flag unter Umständen nicht korrekt abgefragt. Potentielle Angreifer haben dadurch die Möglichkeit, sich als Intermediate Certificate Authority auszugeben und so eigene Zertifikate für Websites von Dritten zu signieren.
Vom Leck betroffen sind die OpenSSL-Versionen 1.0.2b und c für die jetzt ein Update mit der Versionskennung 1.0.2d veröffentlicht wurde, während für die ebenfalls betroffenen Versionen 1.0.1n und o das fehlerbereinigte Update 1.0.1p bereitgestellt wurde.
(rd)