Am morgigen Donnerstag will das Team rund um die freie OpenSSL-Bibliothek einen Patch veröffentlichen, der eine kritische Lücke korrigieren soll. Konkret heißt es, dass vor allem Server-Administratoren sich auf ein rasches Update ihrer Distributionen einstellen sollten.
Die Ankündigung selbst kommt weniger als einen Monat nach der Freigabe der Versionen 1.0.2b, 1.0.1n, 1.0.0s und 0.9.8zg, die diverse Fehler und kleinere Sicherheitslücken korrigierten, die unter anderem zu einem DoS (denial-of-service) führen konnten. Die Warnstufe deutet allerdings darauf hin, dass es sich dieses Mal um eine weitaus schwerere Lücke handeln wird. Auch die Tatsache, dass ein Patch vorangekündigt wird, lässt nichts Gutes vermuten. Vor allem Server-Administratoren sollen deshalb an dem Tag nach Aktualisierungen Ausschau halten und ihre Systeme auf den neuesten Stand bringen.
Obgleich OpenSSL eine sehr wichtige Rolle auf zahlreichen Systemen einnimmt, gerät die Bibliothek immer wieder in den Fokus der Öffentlichkeit wegen ihrer teils verheerenden Sicherheitslücken. Eine der verheerendsten war dabei der »Heartbleed«-Fehler, der im April 2014 gefunden wurde und viele Systeme betraf. Doch auch die FREAK-Sicherheitslücke, die Anfang März entdeckt wurde, resultierte aus Fehlern in diesem höchst komplexen Code. Als Reaktion darauf hat die Linux Foundation unter anderem die Core Infrastructure Initiative gegründet und sowohl Amazon als auch das OpenBSD-Team haben Teile von OpenSSL neu implementiert.
