Nutzer sollen dafür sorgen, dass von ihnen präparierte TLS-Zertifikate oder private Schlüssel mit elliptischen Kurven vom Server verarbeitet werden. Das klappt, wenn zum Beispiel ein Client oder Hosting Provider ein solches Zertifikat oder Schlüssel serviert bekommt. Diese Sicherheitslücke (CVE-2022-0778) ist mit dem Bedrohungsgrad „hoch“ eingestuft worden. Googles Sicherheitsforscher Travis Ormandy entdeckte sie. Es wird geraten zeitnah abgesicherte OpenSSL Ausgaben wie 1.1.1n pder 3.0.2 zu installieren. Premium-Support-Kunden haben Zugriff auf die Ausgabe 1.0.2zd.
Quelle: heise online Redaktion
Weitere Infotmationen zum Thema Verschlüsselung finden Sie hier.