Zoals eerder deze week werd aangekondigd zijn er vandaag updates voor OpenSSL uitgekomen die meerdere lekken verhelpen. In totaal gaat het om 14 kwetsbaarheden waarvan er twee als "high" zijn bestempeld. Dit is het hoogste niveau voor beveiligingslekken dat OpenSSL hanteert. Het eerste high-lek is alleen aanwezig in versie 1.0.2 en maakt het mogelijk om een Denial of Service tegen een server uit te voeren.

Het tweede high-lek was oorspronkelijk als "low" bestempeld, de laagste categorie die OpenSSL hanteert. Eén van de OpenSSL-ontwikkelaars had eerder ook aangegeven dat er maar één high-lek zou zijn, die zich in versie 1.0.2 bevond. Toch werd er besloten het low-lek als high te bestempelen. Het gaat om het "FREAK-lek" dat eerder door onderzoekers werd onthuld. Via het lek kan een aanvaller die zich tussen een doelwit en het internet bevindt in bepaalde gevallen de encryptie van de versleutelde verbinding naar een zwakke encryptie downgraden, om die vervolgens te kraken en het versleutelde verkeer te bekijken.

Volgens de OpenSSL-ontwikkelaars werd er in eerste instantie aangenomen dat het probleem kleinschalig zou zijn en het bij veel servers niet mogelijk was om naar de zwakke encryptie te downgraden. Verder onderzoek liet echter zien dat nog een aanzienlijk aantal servers de zwakke encryptie ondersteunt. De overige kwetsbaarheden die vandaag zijn gepatcht maakten het voornamelijk mogelijk om Denial of Service-aanvallen tegen servers uit te voeren. Beheerders krijgen het advies om, afhankelijk van welke versie is geïnstalleerd, te upgraden naar versie 1.0.2a, 1.0.1m, 1.0.0r of 0.9.8zf.