Der Schock durch den Heartbleed-Bug und seine bis dato noch nicht vollständig ausgeräumten Konsequenzen für das Internet, scheint zumindest den einen oder anderen Softwarehersteller wachgerüttelt zu haben. Also gibt es nun eine neue Version von OpenSSL, die bei Codeanalysen aufgespürte Sicherheitslücken beseitigt.
Sechs der neun Bugs wurden von Google entdeckt, das derzeit den Code der eigenen OpenSSL-Abspaltung BoringSSL aufräumt. Sicherheitsexperte Adam Langley betont dabei, dass in den aktuellen Lücken kein Fehler enthalten ist, der auch nur annähernd so schlimme Konsequenzen wie Heartbleed hat.
LibreSSL
Leider zeigt sich in diesem Zusammenhang auch, dass die Zusammenarbeit zwischen dem OpenSSL-Fork LibreSSL und dem Originalprojekt de fakto nicht vorhanden ist. Handelt es sich bei einem der von Langley aufgespürten Probleme doch um einen Bug, der von LibreSSL bereits vor einigen Wochen bereinigt aber nicht weitergemeldet wurde.
Update
Das OpenSSL-Projekt empfiehlt allen Betroffenen das Update auf die neuen Versionen der Software. Konkret sind jetzt 0.9.8zb, 1.0.0n und 1.0.1i aktuell. (apo, derStandard.at, 8.8.2014)