Die Entwickler von OpenSSL haben eine kritische Lücke (CVE-2015-1793) in ihrer Software behoben ( mit den Software Versionen 1.0.2d und 1.0.1p).
OpenSSL prüfte anscheinend das CA-Flag eines Zertifikats unter bestimmten Umständen nicht korrekt. Das konnte dazu führen, dass ein Angreifer sich als Intermediate-CA ausgeben und die eigenen Zertifikate für die Webseiten anderer Betreiber signieren konnte. Damit konnte er sich dann zum Beispiel als Bank des Opfers ausgeben und so die übermittelten Daten abfrangen.
In der Prüfung eines Server-Zertifikates muss der Client eigentlich die gesamte Zertifikatskette prüfen un sicherzustellen dass jedes unterschreibende Zertifikat dazu berechtigt ist, Zertifikate auszustellen. Diese Berechtigung regelt der sogenannte CA-Flag. Um den Bug auszulösen, muss ein Angreifer bei seinem Ziel dafür sorgen, dass die Prüfung des ersten Zertifikats in der Zertifikatskette fehlschlägt – beim zweiten Versuch mit einer Alternativ-Kette erfolgt dann der Angriff. Der problematische Code wurde erst kürzlich in die Bibliothek eingefügt.