In de nieuwe versies van OpenSSL zijn acht beveiligingslekken verholpen. OpenSSL wordt veel gebruikt om internetverbindingen te versleutelen, bijvoorbeeld tussen websites en hun bezoekers. In april 2014 werd de Heartbleed-bug in OpenSSL ontdekt. Aanvallers konden informatie, zoals wachtwoorden, uit het geheugen van webservers stelen.
Upgraden
De acht verholpen kwetsbaarheden zijn minder ernstig. Twee lekken zijn als “gemiddeld” aangeduid, zes als “laag”. Via de eerste twee lekken kon een aanvaller een Denial of Service veroorzaken, een OpenSSL-server een DH clientcertificaat zonder verificatie te laten accepteren en – in bepaalde gevallen – zou een aanvaller forward secrecy kunnen uitschakelen.
Forward secrecy genereert voor elke sessie met een gebruiker een aparte sleutel die na het aflopen van de sessie weer wordt verwijderd. Als aanvallers de encryptiesleutel compromitteren, hebben ze daarmee nog geen toegang tot de eerder opgeslagen sessies van gebruikers.
Een andere bevinding was dat het in sommige gevallen mogelijk was om de veiligheid van de versleutelde verbinding te downgraden. Het was ook mogelijk om de vingerafdruk van een certificaat aan te passen. Gebruikers worden geadviseerd om te upgraden naar één van de drie nieuwe versies. Op dit moment zijn de meest recente versies OpenSSL 1.0.1k, 1.0.0p en 0.9.8zd.