Ein erst spät von OpenSSL gemeldeter kritischer Bug verzögert die Veröffentlichung von Fedora 37 um zwei Wochen. Ben Cotton, Fedoras Release-Manager verkündete die schlechte Nachricht im Fedora Magazine.

Demnach hat das OpenSSL-Projekt angekündigt, am Dienstag einen Patch für eine kritische Lücke zu veröffentlichen. Dem Fedora-Projekt wiederum war dies nicht genug Information, um sich mit Patch zu begnügen, und Fedora wie geplant am 1. November zu veröffentlichen. Jetzt hat man den 15. November als neuen Release-Termin angepeilt.  Das sei auch auf Anraten des Red-Hat-Security-Teams geschehen. Es sei zu riskant, einen Patch für einen kritischen Bug einfach nur einzuspielen, ohne dessen Tragweite zu kennen. Cotton lässt in seinem Beitrag auch seinen Unmut wegen der Informationspolitik von OpenSSL durchscheinen. Üblicherweise informiere man Projekte vertraulich über bevorstehende Patches, wenn es sich dabei um kritische Lücken handle, schreibt er.

Der Beitrag Bug in OpenSSL verzögert Fedora Linux 37 erschien zuerst auf Linux-Magazin.

Die Ausnutzung kritischer Sicherheitslücken kann gravierende Auswirkungen haben. Man denke an Heartbleed oder Log4Shell. Heute schließt OpenSSL eine solche kritische Lücke.

Quelle

Die zunächst als kritisch eingestufte OpenSSL-Schwachstelle ist nicht so schwerwiegend, wie zunächst angenommen. Trotzdem sollten aktualisierte Pakete zeitnah eingespielt werden.

Quelle

Das OpenSSL-Team hat Version 3.0.7 der Verschlüsselungssoftware veröffentlicht. Damit werden drei Sicherheitslücken geschlossen.

Zwei der Probleme stecken in der Verarbeitung von Punycode, teilt das Projekt mit. Es handle sich dabei jeweils um Bufferoverflows, die beim Parsen entstehen können. Punycode bezeichnet einen Standard für Sonderzeichen in internationalen Domainnamen.

Ein Ausnutzen der Lücke kann OpenSSL zum Absturz bringen. Das Ausführen von Code ist dagegen dadurch erschwert, dass, wie die Entwickler mitteilen, der Fehler erst nach der Überprüfung der Signatur der Zertifikatskette geschieht und es damit erforderlich sei, dass entweder eine Zertifizierungsstelle das böswillige Zertifikat signiert habe oder dass die Anwendung die Zertifikatsüberprüfung fortsetze, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt werden könne.

Die OpenSSL-Lücken hatten wie berichtet dazu geführt, dass Fedora sich für ein Verschieben des für den 1. November geplanten Release seiner Distribution entschieden hatte.

Der Beitrag OpenSSL 3.0.7 schließt Sicherheitslücken erschien zuerst auf Linux-Magazin.

Mit der Version 3.2 bringt das freie Kryptographie Toolkit OpenSSL verschiedene Neuerungen und Updates.

Die neueste Version von OpenSSL, Version 3.3.0, bringt eine Vielzahl neuer Funktionen und Verbesserungen, die den wachsenden Anforderungen an sichere Kommunikationsprotokolle und kryptographische…