Die Entwickler der freien SSL- und TLS-Implementierung OpenSSL warnen vor einer akuten Schwachstelle in ihrer Software. Angreifer können aufgrund eines Programmfehlers eine Race-Condition ausnutzen, darüber einen Pufferüberlau provozieren und so den Server zum Absturz bringen oder möglicherweise Schadcode ausführen.
Ihre Server sind allerdings nur dann angreifbar, wenn Sie OpenSSL mit der TLS-Erweiterung in einer Multi-Threaded Server-Umgebung einsetzen und den OpenSSL-Cache nutzen.
Server, die den Cache-Mechanismus von OpenSSL nicht verwenden oder die Verarbeitung in mehreren Prozessen kapseln (Multi-Process), sind von der Schwachstelle nicht betroffen. So ist beispielsweise der Apache HTTP-Server nicht betroffen, da er nicht den OpenSSL-Cache nutzt.
In jedem Fall empfehlen wir Ihnen, zeitnah das nun veröffentlichte Update einzuspielen. Wenn Sie die OpenSSL-Versionen bis Version 0.9.8o verwenden, sollten Sie ein Update auf die Version 0.9.8p durchführen. Für OpenSSL 1.0.0 und 1.0.0a wurde der Fehler mit Version 1.0.0b behoben.