Im Mittelpunkt der aktuellen OpenSSL-Updates steht das Datenleck CVE-2026-31790. Die Schwachstelle betrifft Anwendungen, die zur Vereinbarung eines geheimen Verschlüsselungsschlüssels die RSASVE-Schlüsselkapselung einsetzen.

Der Kern des Problems liegt darin, dass OpenSSL gelegentlich nicht korrekt überprüft, ob die Verschlüsselung erfolgreich war, gleichzeitig aber eine Erfolgsmeldung zurückgeben kann. Dadurch werden Inhalte aus einem nicht initialisierten Speicherpuffer für den Angreifer sichtbar. „Der nicht initialisierte Puffer kann sensible Daten aus der vorherigen Ausführung des Anwendungsprozesses enthalten, was zu einem Abfluss vertraulicher Daten an einen Angreifer führt", erläutern die OpenSSL-Entwickler in einem Sicherheitshinweis.

Die als mittelschwer bewertete Lücke betrifft die Versionen 3.6, 3.5, 3.4, 3.3 und 3.0. OpenSSL 1.0.2 und 1.1.1 sind nicht betroffen.

Die verbleibenden sechs Schwachstellen wurden allesamt als geringfügig eingestuft. Die meisten von ihnen erlauben es, die Anwendung zum Absturz zu bringen und damit einen Denial-of-Service zu provozieren. Zwei der Fehler könnten theoretisch zur Ausführung beliebigen Codes führen – einer davon betrifft jedoch eine unübliche OpenSSL-Konfiguration, der andere setzt das Versenden eines eigens präparierten X.509-Zertifikats mit einem Gigabyte Größe voraus.

Bereits mit den im Januar veröffentlichten Updates hatte OpenSSL ein Dutzend Schwachstellen behoben, darunter eine als hochgradig eingestufte Lücke, die sich für die Ausführung von Code aus der Ferne ausnutzen ließ. Schwerwiegende Schwachstellen sind in OpenSSL inzwischen selten geworden: Im Jahr 2025 wurde nur eine einzige Lücke dieser Kategorie gefunden.