Steve Marquess, Präsident der OpenSSL Software Foundation, nimmt vor allem Unternehmen und Behörden in die Pflicht. Sie setzten OpenSSL wie selbstverständlich ein, ohne je einen Beitrag geleistet zu haben. Laut Marquess benötigt das Projekt mindestens ein halbes Dutzend Vollzeitkräfte. weiter

Robin Seggelmann führte den Fehler am 31. Dezember 2011 um 23.59 Uhr ein. Das hat aber ihm zufolge nichts mit der fehlenden Überprüfung der korrekten Größe eines Pakets zu tun. Dass der Fehler überhaupt bemerkt wurde, sieht er als Vorteil von Open Source. weiter

Eine Passwortänderung sollte aber erst durchgeführt werden, wenn der betreffende Betreiber des Servers den Patch für die Lücke in OpenSSL und ein neues Zertifikat eingespielt hat. Vorher macht eine Änderung der Zugangsdaten keinen Sinn. weiter

Laut Unternehmensangaben hat zu keiner Zeit Gefahr für die von Nutzern hinterlegten Passwörtern bestanden. Diese verschlüsselt LastPass vor dem Transport über OpenSSL. weiter

Fixes liegen inzwischen für CentOS, Debian, Fedora, Red Hat, openSUSE, and Ubuntu vor. SUSE Linux Enterprise Server war von dem Fehler nicht betroffen, der den Zugriff auf den flüchtigen Speicher eines Webservers ermöglicht. OpenSSL hatte ihn am 7. April mit Version 1.01g korrigiert. weiter

Angreifer können ohne Berechtigung das Memory auslesen und ihm Usernamen und Passwörter oder gar Private Keys entnehmen. Ein Fix ist bereits erschienen. Ein Problem bleibt auch nach dem Einspielen: Eigentlich müsste jedes potenziell kompromittierte Passwort und jedes Zertifikat gewechselt werden. weiter