0.9.8l: Neue Version von OpenSSL

Kürzlich wurde eine Sicherheitslücke bezüglich des TLS/SSL-Protokolls in der Software OpenSSL bekannt gegeben. Interessant ist, dass dieses Update allerdings nicht die Schwachstelle im Protokoll ausbügelt. Die Entwickler haben anscheinend die „TLS/SSL Renegotioation“ aus der Standard-Konfiguration genommen. Daher sollten Administratoren ihre Applikationen testen. Die Effekte dieser Deaktivierungs-Maßnahme sind nicht ganz klar.

Die neueste Version von OpenSSL finden Sie im Download-Bereich der Herstellerseite. Dort können Sie den Quellcode herunterladen. Die Entwickler raten von der Aktivierung der Renegotiation-Option ab, da es ein gefährliches Sicherheitsloch aufreißen könnte. Wer es aber dennoch benötigt, kann es wieder aktivieren, indem er in s3->flag den Parameter SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION setzt. (jdo)