Tirsdag kom det en viktig sikkerhetsoppdatering til krypteringsprogramvaren OpenSSL 3.x, versjon 3.0.7, hvor det ble fjernet to alvorlige sårbarheter. Selv om dette er alvorlig nok, siden OpenSSL brukes i mye programvare, er situasjonen ikke like ille som først ventet.
I forrige uke varslet nemlig OpenSSL-prosjektet at oppdateringen ville inneholde minst én kritisk sårbarhet, noe som fikk en del til å frykte at vi sto foran en ny Heartbleed-situasjon.
Slik ble det altså ikke. Ingen av de to sårbarhetene kan med sikkerhet utnyttes til fjernkjøring av vilkårlig kode. Men utnyttelse kan føre til at programvare krasjer. Begge sårbarhetene skyldes bufferoverflytfeil knyttet til verifiseringen av X.509-sertifikater, nærmere bestemt i lengden på e-postadresser.
Det er kun den nyeste generasjonen, med versjonsnummer 3.0.0 og nyere, som er berørt av sårbarhetene. Mye programvare har tatt i bruk denne nyeste generasjonen, men mange benytter en eldre generasjon i stedet. En ikke-uttømmende oversikt finnes på denne siden. Der er det blant annet oppgitt status for en rekke Linux-distribusjoner.
