De OpenSSL-ontwikkelaars brengen donderdag een nieuwe versie van hun software uit die een ernstig beveiligingsprobleem moet verhelpen. Vooral servers gebruiken OpenSSL voor het aanbieden van ssl/tls-verbindingen.
De ontwikkelaars maken nog niet bekend om welk probleem het precies gaat. Ze melden wel dat het lek de classificatie 'ernstig' heeft gekregen. Dit betekent dat de kans groot is dat kwaadwillenden het misbruiken. De komende 1.0.2d- en 1.0.1p-releases verhelpen het lek, dat alle versies behalve 1.0.0 en 0.9.8 heeft getroffen.
Servers gebruiken OpenSSL vaak voor het aanbieden van ssl- en tls-verbindingen. Ook sommige browsers en besturingssystemen voor eindgebruikers, zoals Linux-distributies, gebruiken de ssl-bibliotheek. Google gebruikte OpenSSL tot vorig jaar in Chrome OS en Android, maar maakte uiteindelijk een eigen implementatie van de software.
Het OpenSSL-project heeft een onstuimige tijd achter de rug. Vorig jaar zorgde de zogenoemde Heartbleed-bug ervoor dat een deel van het interne geheugen van servers en clients met OpenSSL uit te lezen was. De bug ontketende een storm van kritiek op OpenSSL, dat slecht onderhouden zou zijn. Later bleek OpenSSL minstens nog een ernstig lek te bevatten.
Update, 20.25 uur - De 1.0.2d- en 1.0.1p-releases verhelpen het lek juist, in plaats van wat eerder stond geschreven. Het artikel is hierop aangepast.