Ein Fehler in OpenSSL kann Angreifern ermöglichen, Sicherheitsbestimmungen zu umgehen. Zwar liegen Patches vor, doch auf eine neue, zertfizierte Release müssen die Anwender noch warten.
Die Sicherheitslücke betrifft Version 1.1.1 des FIPS-Object-Moduls von OpenSSL. Ein Programmierfehler im Pseudozufallszahlengenerator (PRNG) kann dazu führen, dass Webanwendungen, die auf dem Modul basieren, angreifbar werden. Während des FIPS-Selbsttests findet kein Auto-Seeding statt, wodurch PRNG-Schlüssel und Seed zum letzten Selbsttest passen. Neue Seed-Daten werden im Anschluss lediglich mit veränderten Zeit- und Datumsinformationen erzeugt und sind somit vorhersagbar. Laut Fehlerbericht ist Version 1.2, die sich noch in der Validierung befindet, nicht vom Fehler betroffen.
Das Team von OpenSSL hat zweiPatches veröffentlicht, die demonstrieren sollen, wie sich die Lücke schließen lässt. Jedoch sind sie keine Lösung des Problems, da Anwender sie wegen der Zertifizierung nach der US-Norm Federal Information Processing Standard (FIPS) nicht selbst installieren dürfen. Geschieht dies dennoch, verliert das eingesetzte Modul seine Zertifizierung und darf unter Umständen nicht mehr eingesetzt werden. Die Entwickler verweisen auf die kommende Veröffentlichung des Moduls.
