Angreifer könnten Clients und Server mit OpenSSL attackieren. Das Sicherheitsrisiko gilt als hoch.

Entwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.

Ein Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.

Die aktuelle Version der Kryptobibliothek schließt eine Sicherheitslücke, von der laut Entwicklern ein hohes Risiko ausgeht.

Von Stuxnet über Heartbleed bis zum Yahoo-Hack: Das haben Hacker von 2010 bis 2019 "geleistet".

Mit TLS 1.3-Unterstützung und überarbeitetem Zufallszahlengenerator punktete die aktuelle OpenSSL-Version im OSTIF-Audit.

Die OpenSSL-Entwickler wollen ihre Kryptobibliothek, die immer noch große Teile des Internet-Traffics absichert, ab sofort nur noch Dienstags patchen. Ausnahmen bestätigen allerdings die Regel.

Die Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.

Eine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.

Das OpenSSL-Team hat eine neue Version angekündigt, in der sie mehrere Schwachstellen geschlossen haben.

Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.

Über mehrere Lücken können Angreifer Server lahmlegen, die OpenSSL einsetzen. Updates stehen bereit.

Version 1.1.0 mistet alte, unsichere Krypto-Verfahren aus und unterstützt dafür modernere wie ChaCha20. Das Update stoppt zudem die Sweet32-Attacke auf SSL/TLS und OpenVPN.

Die vielgenutzte Krypto-Bibliothek erhält Patches für sechs Sicherheitslücken. Zwei davon haben die Priorität "hoch". Admins sollten auf die reparierten Versionen umsteigen.

Kommenden Dienstag, den 3. Mai, schließen die OpenSSL-Entwickler mehrere Sicherheitslücken in ihrerer Krypto-Bibliothek.

Der Web-Server des Bundesministeriums für Verkehr und digitale Infrastruktur war bis Donnerstag morgen anfällig für Datenklau via Heartbleed. Das ist so ziemlich einer der übelsten Fehler, die man beim Einrichten eines sicheren Web-Servers machen kann.

Allein über Cache-Zugriffe kann man bei bestimmten CPU-Architekturen von Intel die Krypto-Schlüssel erraten, die gerade verwendet werden – zum Beispiel von einem OpenSSL-Prozess.

Administratoren, auf dessen Servern die beliebte Kryptobibliothek für SSL/TLS-Verbindungen zum Einsatz kommt, müssen am Dienstag wieder mal patchen.

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik haben zwei Firmen den Zufallsgenerator der OpenSSL-Bibliothek unter die Lupe genommen. Außerdem wurde die Absicherung gegen bekannte Angriffe auf SSL/TLS-Angriffe abgefragt.

Admins sollten ihre Server mit den aktualisierten OpenSSL-Versionen 1.0.1r und 1.0.2f absichern. Denn unter Umständen könnten Angreifer sonst den Schlüsselaustausch belauschen und Verbindungen dechiffrieren.

Neue OpenSSL-Versionen sollen zwei Sicherheitslücken schließen. Den Schweregrad einer Schwachstelle stuft das OpenSSL-Team mit hoch ein.

In Ciscos Identity Services Engine klafft eine als kritisch und eine als hoch eingestufte Schwachstelle. Neben der Wireless-LAN-Controller-Software sind auch noch Aironet-Basisstationen der 1800-Serie verwundbar. Sicherheitsupdates stehen bereit.

Verschlüsselung sei für die Gesellschaft zu wichtig, um sie absichtlich zu untergraben, so die Volksvertreter. Außerdem wird das OpenSSL-Projekt mit einer halben Million Euro gefördert.

Im Rahmen eines Sicherheits-Updates verkündet das OpenSSL-Team, dass die Versionen 0.9.8 und 1.0.0 keine weiteren Updates mehr erhalten werden. Deren Nutzer sollten dringend auf neuere Versionen umsteigen.