Az OpenSSL projekt csapata szeretné előre bejelenteni az OpenSSL 3.0.7-es verzióját. Az OpenSSL 3.0.7 egy biztonsági hibajavító kiadás, amely a legmagasabb, kritikus (CRITICAL) súlyosságú probléma át orvosol majd.

Ez a kiadás 2022. november 1-jén, kedden lesz elérhető, várhatóan délután egytől. A hiba a 3.0-s és újabb verziókat érinti, és ez a második kritikus besorolású sebezhetőség, amellyel az OpenSSL projekt valaha is találkozott. Az esetleg probléma súlyosságát jelzi, hogy a 2014-ben napvilágot látott Heartbleed (CVE-2014-0160) volt az első. Szintén november 1-jén az OpenSSL projekt kiadja az OpenSSL 1.1.1s verzióját is, amelyre „hibajavító kiadásként” hivatkozik. Az 1.1.1-es verziót követő „s” verzióval kapcsolatban az OpenSSL projekt jelezte, hogy nem érinti a 3.0-ban javított kritikus hiba.

2014-ben fontos szabad szoftverprojektekben találtak biztonsági réseket. Az egyik ilyen probléma az OpenSSL nyílt forráskódú titkosítási könyvtárban jelentkezett. Az ilyen típusú szoftvereket azért nevezik könyvtárnak, mert szabványos funkciókat biztosít rengeteg más szoftver számára. Ezek pedig ezt követően szenvedtek a problémától és ennek kapcsán hívta életre FOSSA és FOSSA2 hibavadász programjai az Európai Unió, amelyről itt olvashat: Az új esztendőre: EU-s bug bounty program

Mivel az OpenSSL az internetes forgalom titkosítása szempontjából is nagyon fontos, így a személyes kommunikáció vagy az online vásárláskor a fizetési adatok védelme szempontjából is nagy jelentőséggel bír.

A Heartbleed Bug egy súlyos sebezhetőség a népszerű OpenSSL kriptográfiai szoftverkönyvtárban. Ez a gyengeség lehetővé teszi az internet biztonságára használt SSL/TLS titkosítás által normál körülmények között védett információk ellopását. Az SSL/TLS biztosítja a kommunikáció biztonságát és az adatvédelmet az interneten olyan alkalmazások számára, mint a web, az e-mail, az azonnali üzenetküldés (IM) és egyes virtuális magánhálózatok (VPN).

A Heartbleed hiba lehetővé tette, hogy az interneten bárki kiolvashassa az OpenSSL szoftver sebezhető verzióival védett rendszerek memóriáját. Ez veszélyezteti a szolgáltatók azonosítására és a forgalom titkosítására használt titkos kulcsokat, a felhasználók neveit és jelszavait, valamint a tényleges tartalmakat. Ez lehetővé teszi a támadók számára, hogy lehallgassák a kommunikációt, adatokat lopjanak közvetlenül a szolgáltatásoktól és felhasználóktól, és megszemélyesítsék a szolgáltatásokat és a felhasználókat.

A probléma sok embernek rádöbbentette, hogy a szabad és nyílt forráskódú szoftverek mennyire fontosak az internet és más infrastruktúrák integritása és megbízhatósága szempontjából. Sok más szervezethez hasonlóan az olyan intézmények, mint az Európai Parlament, a Tanács és a Bizottság is a szabad szoftverekre építenek honlapjaik és sok más dolog működtetéséhez. Az internet azonban nem csak a gazdaságunk és a közigazgatásunk számára létfontosságú. Ez az az infrastruktúra, amely a mindennapi életünket működteti. Ez az az eszköz, amelyet információszerzésre és politikai aktivitásra használunk.