OpenSSL 1.0.0c bessert zwei Schwachstellen aus. Ein alter Bug-Workaround erlaubt es schädlichen Clients, gespeicherte Sitzungs-Cookies zu modifizieren. Der zweite Fehler liegt in der J-PAKE-Implementierung von OpenSSL. Auch ohne die ausgetauschten Geheimnisse könnte (PDF) eine Validation zustande kommen. J-PAKE ist laut eigener Aussage noch expermientell und nicht per Standard einkompiliert.
Sie finden weitere Informationen in der offiziellen Sicherheits-Anweisung. Sie können Version 1.0.0c von der Projekseite beziehen. (jdo)