In Open SSL wurden mehrere Sicherheitslücken veröffentlich und in einem grösseren Security Advisory am 8. Januar zusammengefasst. Diese Schwachstellen haben zur Folge, dass ein entfernter Angreifer Denial-of-Service-Attacken durchführen kann. Weiter ist er in der Lage ein Downgrade der Sessions Security zu erwirken. Das Adivisory stuft den Impact der meisten Schwachstellen als niedrig ein, wobei auch einige Probleme als moderates Sicherheitsrisiko betrachtet werden.
Ein Programmierfeher in der »dtls1_get_record()«-Funktion erlaubt es dem Angreifer einen Null-Zeiger-Derferenzfehler mit Hilfe spezieller DTLS-Nachrichten auszuführen. Das heißt der Open SSL-Code versucht dann einen Speicherbereich freizugeben, der einen Null-Zeier darstellt. Dies führt dann zum Absturz der Applikation. Diese Sicherheitslücke ist unter CVE-2014-3571 verzeichnet und wurde schon am 22. Oktober an den Hersteller gemeldet.

Ein weiteres Problem beim Verarbeiten von DTLS-Records hat zur Folge, dass Open SSL sehr viel Speicher verbraucht, was ebenfalls zum Absturz führen kann. Ursache hierfür ist ein Speicherleck in der »dtls1_buffer_record()«-Funktion. Das Problem tritt auf, wenn mehrmals die gleichen Sequence-Nummern fuer die nächste Epoche in DTLS-Records verwendet werden.  Diese Schwachstelle wurde erst kürzlich am 7. Januar 2015 entdeckt (CVE-2015-0206).  
Ein weiterer Null-Zeiger-Dereferenz-Fehler tritt auf, wenn die Open SSL-Installation auf dem System mit der »no-ssl3«-Option erstellt wurde. Dann kann ein enfernter Angreifer durch eine geschickt konstruierte SSLv3-ClientHello-Nachricht den Fehler auslösen. Diese unter CVE-2014-3569 verzeichnete Schwachstelle wurde am 17. Oktober gemeldet.
Ebenfalls im Oktober letzten Jahres wurdeeine kryptographische Downgrade-Sicherheitslücke in Open SSL an den Hersteller gemeldet. Dieses Problem tritt auf, wenn tritt bei ECDSA-Zertifikaten der ECDH-Ciphersuiteauf, wenn der Server-Key-Exchange nicht ausgeführt wird. Dann findet ein Downgrade von ECDHE nach ECDH statt. Ein ähnliches Problemntritt auch mit schwachen, temporären RSA-Schlüsseln auf.  
Eine weitere kryptographische Schwachstellen tritt auch bei DH-Zertifikaten auf. Hierdurch kann der Angreifer Client sich via DH-Zertifikat ohne Verwendung eines privaten Schlüssels anmelden. Dazu muss er lediglich eine DH-Zertifikat ohne Zertifikat-Verify-Nachricht an das System senden. Dieses Problem wurde ebenfallsschon im Oktober gemeldet (CVE-2015-0205).
Eine letzte Sicherheitslücke befindet sich in der Implementierung der »BN_sqr()«-Funktion, welche für das Quadrieren grosser Zahlen in Open SSL verwendet wird. Hier stellte sich heraus, dass diese Funktion in seltenen Fällen falsche Ergebnisse liefern kann. Unter anderem ist die x86_64 Plattform betroffen. Das Advisory spezifiziert nicht genau welche sicherheitsrelevanten Implikation dies haben könnte. Allerdings ist klar, dass diese Funktion zentraler Bestandteil von Open SSL ist und ein Fehler in ihr entsprechend signifikant und kritisch ist. So verwendet die static ECDH-Implementierung zum Beispiel diese Funktion. Allerdings ist die Wahrscheinlichkeit eines
Fehlers sehr gering. Auf der x86_64-Plattform beträgt die Wahrscheinlichkeit eines falschen Ergebnisses nur 1/2^128.
Betroffen von diesen Schwachstellen sind die Versionen vor 0.9.8zd, 1.0.0p und 1.0.1k.