Af Eskil Sørensen, 31/10/22
OpenSSL-projektet har annonceret, at opdateringer til håndtering af en kritisk sårbarhed i open source-værktøjssættet er på vej. Det skriver Security Affairs og Security Week på baggrund af en meddelelse fra OpenSSL.
I meddelelsen hedder det, at den nye udgivelse af OpenSSL får version 3.0.7, og at den bliver gjort tilgængelig tirsdag den 1. november 2022 mellem kl. 13 og 17 UTC, dvs. mellem kl. 14 og 18 dansk tid. Endvidere fremgår, at det at der er tale om en sikkerhedsrettelse, der løser en kritisk sårbarhed. OpenSSL er en open-source implementering af SSL- og TLS-protokollerne, hvilket er krypteringsprotokoller til internetkommunikation.
Sårbarheden påvirker kun version 3.0 og nyere og er ifølge Security Affairs den anden kritiske sårbarhed, der nogensinde er blevet rettet af OpenSSL-projektet efter Heartbleed-sårbarheden (CVE-2014-0160) i 2014.
OpenSSL Project annoncerede også i sin meddelelse, at der forberedes udgivet en version 1.1.1s, som ligeledes vil blive udsendt 1. november.
Links:
https://securityaffairs.co/wordpress/137689/security/openssl-second-critical-flaw-ever.html https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
https://www.securityweek.com/openssl-patch-first-critical-vulnerability-2016
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html