PC over IP, eine Art Remote-Desktop-Protokoll, von HP Teradici läuft auf 15 Millionen Rechnern. Komponenten von Drittherstellern haben kritische Schwachstellen.

Angreifer könnten Clients und Server mit präparierten TLS-Zertifikaten auf Basis von elliptischen Kurven lahmlegen.

Die Hersteller von Netzwerkspeichern Qnap und Synology untersuchen derzeit, in welchem Umfang ihre Geräte von OpenSSL-Lücken betroffen sind.

Die frisch erschienene Version 1.1.1l der freien Software OpenSSL beseitigt zwei Schwachstellen, von denen eine ein als hoch bewertetes Sicherheitsrisiko birgt.

Angreifer könnten Clients und Server mit OpenSSL attackieren. Das Sicherheitsrisiko gilt als hoch.

Entwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.

Ein Update beseitigt einen Null-Pointer-Zugriff, der laut Advisory zum Absturz führen kann.

Die aktuelle Version der Kryptobibliothek schließt eine Sicherheitslücke, von der laut Entwicklern ein hohes Risiko ausgeht.

Von Stuxnet über Heartbleed bis zum Yahoo-Hack: Das haben Hacker von 2010 bis 2019 "geleistet".

Mit TLS 1.3-Unterstützung und überarbeitetem Zufallszahlengenerator punktete die aktuelle OpenSSL-Version im OSTIF-Audit.

Die OpenSSL-Entwickler wollen ihre Kryptobibliothek, die immer noch große Teile des Internet-Traffics absichert, ab sofort nur noch Dienstags patchen. Ausnahmen bestätigen allerdings die Regel.

Die Entwickler schließen insgesamt vier Lücken in der Krypto-Bibliothek. Das von den Schwachstellen ausgehende Risiko gilt als moderat bis niedrig.

Eine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.

Das OpenSSL-Team hat eine neue Version angekündigt, in der sie mehrere Schwachstellen geschlossen haben.

Admins sollten aufpassen, welche abgesicherten OpenSSL-Versionen sie einspielen: Die Patches aus der vergangenen Wochen haben zwei weitere Lücken aufgerissen. Aktualisierte Versionen stehen bereit.

Über mehrere Lücken können Angreifer Server lahmlegen, die OpenSSL einsetzen. Updates stehen bereit.

Version 1.1.0 mistet alte, unsichere Krypto-Verfahren aus und unterstützt dafür modernere wie ChaCha20. Das Update stoppt zudem die Sweet32-Attacke auf SSL/TLS und OpenVPN.

Die vielgenutzte Krypto-Bibliothek erhält Patches für sechs Sicherheitslücken. Zwei davon haben die Priorität "hoch". Admins sollten auf die reparierten Versionen umsteigen.

Kommenden Dienstag, den 3. Mai, schließen die OpenSSL-Entwickler mehrere Sicherheitslücken in ihrerer Krypto-Bibliothek.

Der Web-Server des Bundesministeriums für Verkehr und digitale Infrastruktur war bis Donnerstag morgen anfällig für Datenklau via Heartbleed. Das ist so ziemlich einer der übelsten Fehler, die man beim Einrichten eines sicheren Web-Servers machen kann.

Allein über Cache-Zugriffe kann man bei bestimmten CPU-Architekturen von Intel die Krypto-Schlüssel erraten, die gerade verwendet werden – zum Beispiel von einem OpenSSL-Prozess.

Administratoren, auf dessen Servern die beliebte Kryptobibliothek für SSL/TLS-Verbindungen zum Einsatz kommt, müssen am Dienstag wieder mal patchen.

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik haben zwei Firmen den Zufallsgenerator der OpenSSL-Bibliothek unter die Lupe genommen. Außerdem wurde die Absicherung gegen bekannte Angriffe auf SSL/TLS-Angriffe abgefragt.

Admins sollten ihre Server mit den aktualisierten OpenSSL-Versionen 1.0.1r und 1.0.2f absichern. Denn unter Umständen könnten Angreifer sonst den Schlüsselaustausch belauschen und Verbindungen dechiffrieren.