Mit TLS 1.3-Unterstützung und überarbeitetem Zufallszahlengenerator punktete die aktuelle OpenSSL-Version im OSTIF-Audit.

Die OpenSSL-Entwickler wollen ihre Kryptobibliothek, die immer noch große Teile des Internet-Traffics absichert, ab sofort nur noch Dienstags patchen. Ausnahmen bestätigen allerdings die Regel.

Die Kryptobibliothek OpenSSL soll eine moderne Open-Source-Lizenz erhalten und bittet die Entwickler um Zustimmung. Die fühlen sich jedoch überrumpelt und sehen in dem Wechsel nicht nur Vorteile.

Die Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.

Das OpenSSL-Team hat eine neue Version angekündigt, in der sie mehrere Schwachstellen geschlossen haben.

Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.

Über mehrere Lücken können Angreifer Server lahmlegen, die OpenSSL einsetzen. Updates stehen bereit.

Das RFC 7905 beschreibt die Spezifikationen für den Einsatz von ChaCha20 im Poly1305-Modus in Verbindung mit TLS.

Damit Lücken wie Heartbleed und Shellshock künftig frühzeitig behoben werden, hat Mozilla einen SOS-Fonds für freie Software ins Leben gerufen. Erste Fehler haben Sicherheitsexperten bereits in PCRE, libjpeg-turbo und phpMyAdmin gefunden.

Allein über Cache-Zugriffe kann man bei bestimmten CPU-Architekturen von Intel die Krypto-Schlüssel erraten, die gerade verwendet werden – zum Beispiel von einem OpenSSL-Prozess.

Administratoren, auf dessen Servern die beliebte Kryptobibliothek für SSL/TLS-Verbindungen zum Einsatz kommt, müssen am Dienstag wieder mal patchen.

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik haben zwei Firmen den Zufallsgenerator der OpenSSL-Bibliothek unter die Lupe genommen. Außerdem wurde die Absicherung gegen bekannte Angriffe auf SSL/TLS-Angriffe abgefragt.

Neue OpenSSL-Versionen sollen zwei Sicherheitslücken schließen. Den Schweregrad einer Schwachstelle stuft das OpenSSL-Team mit hoch ein.

Verschlüsselung sei für die Gesellschaft zu wichtig, um sie absichtlich zu untergraben, so die Volksvertreter. Außerdem wird das OpenSSL-Projekt mit einer halben Million Euro gefördert.

Im Rahmen eines Sicherheits-Updates verkündet das OpenSSL-Team, dass die Versionen 0.9.8 und 1.0.0 keine weiteren Updates mehr erhalten werden. Deren Nutzer sollten dringend auf neuere Versionen umsteigen.

Das Update adressiert die letzte Woche gemeldete DoS-Schwachstelle und den Zugriffsfehler bei der JavaScript-Engine V8. Gleichzeitig umfasst es die ebenfalls diese Woche aktualisierten OpenSSL-Bibliotheken.

Grund der Verzögerung des Security-Updates für das serverseitige JavaScript ist die Verschiebung des OpenSSL-Updates. Die Aktualisierung soll nun zwei Tage später erfolgen als ursprünglich geplant.

Über einen Umweg haben Sicherheitsforscher Schwachstellen in LibreSSL gefunden. Die Version in OpenBSD 5.8 soll bereits gefixt sein.

Unwahrscheinlicher als ein Lotto-Gewinn, doch trotzdem gefährlich: besonders schwache DES-Schlüssel.

Der Mitgründer einer Sicherheitsfirma hatte rund 900 iPhones der britischen Versicherung Aviva gelöscht, um sich an seinen ehemaligen Kollegen zu rächen.

Sicherheitslücken ohne Namen und Logo sind doof. Die neueste OpenSSL-Lücke hat wenigstens ein Meme.