OpenSSL kondigt belangrijke beveiligingsupdate aan voor 27 januari

In dit artikel:

Het OpenSSL-team heeft via zijn mailinglijst een belangrijke beveiligingsupdate aangekondigd die volgende week dinsdag 7 februari moet verschijnen. De patch verhelpt één of meerdere kwetsbaarheden met een impactniveau “High” — zeldzaam voor OpenSSL; sinds 2002 zijn er slechts 22 High-kwetsbaarheden gerapporteerd en in de afgelopen drie jaar maar twee. Het team publiceert geen technische details vooraf; High-lekken kunnen onder meer leiden tot diefstal van private sleutels of remote code-executie, maar zijn volgens de ontwikkelaars niet triviaal te misbruiken in standaardconfiguraties, daarom niet als Critical geclassificeerd. Specifieke builds (onder meer 3.6.1, 3.5.5, 3.4.4, 3.3.6 en 3.0.19) worden volgens de melding op 27 januari tussen 14:00 en 18:00 uur beschikbaar gemaakt; betalende klanten krijgen ook 1.0.2zn en 1.1.1ze. Omdat OpenSSL een fundamentele rol speelt bij internetversleuteling (denk aan Heartbleed) is snelle patching voor beheerders aan te raden.