OpenSSL預計於本周四(1/28)釋出1.0.2f 與1.0.1r 以修補兩個安全漏洞,其中一個高嚴重性的漏洞只影響1.0.2版,另一個低嚴重性的漏洞則影響所有版本。
OpenSSL並未詳細說明這兩個漏洞,然而,根據OpenSSL的安全政策,高嚴重性(HIGH Severity)漏洞的風險程度位居第二,還低於非常嚴重(CRITICAL Severity),指的是那些影響較少使用的配置,或是不太可能被開採的漏洞。低嚴重性(LOW Severity)則是那些只影響OpenSSL命令列實用程序的問題。
此外,OpenSSL提醒,對1.0.0及0.9.8的支援已在去年12月31日終止,去年12月對這兩個版本的修補也是最後一次,未來不會再有相關版本的安全更新。而1.0.1的支援截止日期則是今年的12月31日。
OpenSSL為全球最普及的加密函式庫之一,在2014年發生可導致機密資訊外洩的Heartbleed漏洞之後,OpenSSL才將內部的安全政策透明化。