Das OpenSSL-Team hat Version 3.0.7 der Verschlüsselungssoftware veröffentlicht. Damit werden drei Sicherheitslücken geschlossen.
Zwei der Probleme stecken in der Verarbeitung von Punycode, teilt das Projekt mit. Es handle sich dabei jeweils um Bufferoverflows, die beim Parsen entstehen können. Punycode bezeichnet einen Standard für Sonderzeichen in internationalen Domainnamen.
Ein Ausnutzen der Lücke kann OpenSSL zum Absturz bringen. Das Ausführen von Code ist dagegen dadurch erschwert, dass, wie die Entwickler mitteilen, der Fehler erst nach der Überprüfung der Signatur der Zertifikatskette geschieht und es damit erforderlich sei, dass entweder eine Zertifizierungsstelle das böswillige Zertifikat signiert habe oder dass die Anwendung die Zertifikatsüberprüfung fortsetze, obwohl kein Pfad zu einem vertrauenswürdigen Aussteller erstellt werden könne.
Die OpenSSL-Lücken hatten wie berichtet dazu geführt, dass Fedora sich für ein Verschieben des für den 1. November geplanten Release seiner Distribution entschieden hatte.
Der Beitrag OpenSSL 3.0.7 schließt Sicherheitslücken erschien zuerst auf Linux-Magazin.