Die OpenSSL-Entwickler wollen ihre Kryptobibliothek, die immer noch große Teile des Internet-Traffics absichert, ab sofort nur noch Dienstags patchen. Ausnahmen bestätigen allerdings die Regel.

Die Kryptobibliothek OpenSSL soll eine moderne Open-Source-Lizenz erhalten und bittet die Entwickler um Zustimmung. Die fühlen sich jedoch überrumpelt und sehen in dem Wechsel nicht nur Vorteile.

Eine Analyse der öffentlich im Internet erreichbaren Systeme zeigt, dass immer noch Hunderttausende für die OpenSSL-Lücke Heartbleed anfällig sind. Die bald drei Jahre alte Lücke findet sich demnach hauptsächlich in Mietservern der Cloud.

Das OpenSSL-Team hat eine neue Version angekündigt, in der sie mehrere Schwachstellen geschlossen haben.

Das RFC 7905 beschreibt die Spezifikationen für den Einsatz von ChaCha20 im Poly1305-Modus in Verbindung mit TLS.

Damit Lücken wie Heartbleed und Shellshock künftig frühzeitig behoben werden, hat Mozilla einen SOS-Fonds für freie Software ins Leben gerufen. Erste Fehler haben Sicherheitsexperten bereits in PCRE, libjpeg-turbo und phpMyAdmin gefunden.

Kommenden Dienstag, den 3. Mai, schließen die OpenSSL-Entwickler mehrere Sicherheitslücken in ihrerer Krypto-Bibliothek.

Der Web-Server des Bundesministeriums für Verkehr und digitale Infrastruktur war bis Donnerstag morgen anfällig für Datenklau via Heartbleed. Das ist so ziemlich einer der übelsten Fehler, die man beim Einrichten eines sicheren Web-Servers machen kann.

Allein über Cache-Zugriffe kann man bei bestimmten CPU-Architekturen von Intel die Krypto-Schlüssel erraten, die gerade verwendet werden – zum Beispiel von einem OpenSSL-Prozess.

Administratoren, auf dessen Servern die beliebte Kryptobibliothek für SSL/TLS-Verbindungen zum Einsatz kommt, müssen am Dienstag wieder mal patchen.

Im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik haben zwei Firmen den Zufallsgenerator der OpenSSL-Bibliothek unter die Lupe genommen. Außerdem wurde die Absicherung gegen bekannte Angriffe auf SSL/TLS-Angriffe abgefragt.

Neue OpenSSL-Versionen sollen zwei Sicherheitslücken schließen. Den Schweregrad einer Schwachstelle stuft das OpenSSL-Team mit hoch ein.

Verschlüsselung sei für die Gesellschaft zu wichtig, um sie absichtlich zu untergraben, so die Volksvertreter. Außerdem wird das OpenSSL-Projekt mit einer halben Million Euro gefördert.

Das Update adressiert die letzte Woche gemeldete DoS-Schwachstelle und den Zugriffsfehler bei der JavaScript-Engine V8. Gleichzeitig umfasst es die ebenfalls diese Woche aktualisierten OpenSSL-Bibliotheken.

Grund der Verzögerung des Security-Updates für das serverseitige JavaScript ist die Verschiebung des OpenSSL-Updates. Die Aktualisierung soll nun zwei Tage später erfolgen als ursprünglich geplant.

Unwahrscheinlicher als ein Lotto-Gewinn, doch trotzdem gefährlich: besonders schwache DES-Schlüssel.

Der Mitgründer einer Sicherheitsfirma hatte rund 900 iPhones der britischen Versicherung Aviva gelöscht, um sich an seinen ehemaligen Kollegen zu rächen.

Sicherheitslücken ohne Namen und Logo sind doof. Die neueste OpenSSL-Lücke hat wenigstens ein Meme.

Am Donnerstag will das OpenSSL-Team eine Sicherheitslücke beseitigen.