LibreSSL neu, Bug in OpenSSL

17.03.2015

Eine neue Version der alternativen SSL/TLS-Implementation ist erschienen. Gleichzeitig wurde ein neuer Bug in OpenSSL gefunden. 

Die LibreSSL-Entwickler haben Version 2.1.5 ihrer alternativen SSL/TLS-Implementation angekündigt. In erster Linie enthält das neue Release eine Reihe von Bugfixes, bevor die Arbeit an LibreSSL 2.2 beginnen soll, das in OpenBSD 5.8 enthalten sein soll. Auch am Windows-Port von LibreSSL wurde einige Fehler behoben. Darüber hinaus lehnt LibreSSL nun Diffie-Hellman-Keys mit weniger als 1024 Bit ab.

In einem Nebensatz deutet die Ankündigung einen Bug in der OpenSSL-Bibliothek an, der am 19. März offengelegt werden soll. Auf der OpenSSL-Mailingliste wurden parallel dazu neue Releases angekündigt, die am 19. März erscheinen und nicht weiter erläuterte Fehler beheben sollen. Einer der Bugs sei als "schwerwiegend" klassifiziert. 

Im letzten Jahr war OpenSSL in Verruf geraten, als es sich nach dem Heartbleed-Bug kurze Zeit später auch noch als verwundbar für die POODLE-Attacke zeigte. Dies war der Anlass für das OpenBSD-Team gewesen, mit LibreSSL einen Fork von OpenSSL zu starten, diesen von Altlasten zu befreien und jetzt eigenständig zu pflegen. Derweil startet bei OpenSSL mit Unterstützung der Core Infrastructure Initiative ein Code-Audit, der die Qualität des sicherheitskritischen Codes verbessern soll. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Alpine Linux wechselt zu LibreSSL

Die Alpine-Entwickler haben genug von den OpenSSL-Sicherheitslücken. 

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020