Am 16. Juni 2025 hat das Erlang Core Team das neue Patch Package OTP 26.2.5.13 veröffentlicht.
Diese Version bringt eine Reihe von Bugfixes und sicherheitsrelevanten Verbesserungen für die bestehende OTP 26 Platform mit sich. Im Zentrum dieses Releases stehen die Aktualisierungen der Anwendungen asn1, kernel, ssh sowie stdlib, die in unterschiedlichen Bereichen wichtige Probleme beheben und die allgemeine Stabilität und Sicherheit verbessern. Die OTP-Plattform gilt seit Jahren als unverzichtbares Framework für nebenläufige und verteilte Systeme. Angesichts der zunehmenden Verbreitung solcher Systeme in der Industrie und bei sicherheitskritischen Anwendungen ist ein kontinuierliches Patchmanagement für diese Infrastruktur von zentraler Bedeutung. Mit OTP 26.
2.5.13 adressiert das Update mehrere Trouble Reports und CVEs, die sowohl die Entwicklungsumgebung als auch den sicheren Betrieb betreffen. Die ASN.1 Anwendung in der Version 5.
2.2.1 behebt ein spezielles Problem im ASN.1 Compiler, das zu unnötigen Warnungen im Dialyzer Tool bei aktivierter unmatched_returns Option führte. Dieser Fix erleichtert Entwicklern den Umgang mit Code-Analysen und verbessert die Genauigkeit von statischen Codeprüfungen.
ASN.1, das standardisierte Verfahren zur Beschreibung und Kodierung von Daten, ist in vielen Kommunikationsprotokollen essentiell, weshalb eine saubere und effiziente Implementierung unverzichtbar ist. Das Kernel-Modul wurde ebenfalls in der Version 9.2.4.
9 revisionsgetreu überarbeitet. Eine der bemerkenswertesten Verbesserungen ist die Möglichkeit für eine Remote Shell, sich durch Schließen des Eingabestreams zu beenden, ohne den Remote-Knoten zu terminieren. Diese Änderung sorgt für mehr Flexibilität und Stabilität beim Fernzugriff auf Systeme, ein wichtiger Schritt in Richtung besserer Nutzbarkeit und Reduzierung von unbeabsichtigten Systemabstürzen. In sicherheitsrelevanten Anwendungen besitzt SSH eine besondere Bedeutung. Die SSH-Komponente wurde auf Version 5.
1.4.10 aktualisiert und erhielt diverse Verbesserungen in der Kanalverwaltung. So wurden Probleme beseitigt, die zu Abstürzen führen konnten, wenn ein Kanal-Handling-Prozess den Kanal schloss und unmittelbar danach beendete. Zudem wurden doppelte Channel-Close-Nachrichten vermieden, was die Einhaltung des Kommunikationsprotokolls sicherstellt.
Die Interoperabilität mit Clients wie Paramiko, einem weit verbreiteten SSH-Client in der Python-Welt, wurde ebenfalls verbessert, um eine stabilere und zuverlässigere Verbindung zu gewährleisten. Die Standardbibliothek, stdlib, wurde in der Version 5.2.3.4 mit mehreren bedeutenden Anpassungen versehen.
Ein bemerkenswerter Fix ermöglicht es nun, in der Shell Listen mit Funktionen wie is_atom oder benutzerdefinierten Funktionsnamen zu verwenden, ohne die Namespaces explizit angeben zu müssen. Dies erleichtert das interaktive Arbeiten und beschleunigt Entwicklungsprozesse erheblich. Außerdem wurde ein Sicherheitsproblem behoben, das bei der Verarbeitung von Dateipfaden in ZIP-Archiven auftrat. Konkret wurde das korrekte Entfernen von führenden Schrägstrichen und Laufwerksbuchstaben verbessert. Die Behebung dieser Schwachstelle (CVE-2025-4748) schützt vor potenziellen Angriffen durch manipulierte Archive und unterstreicht die Bedeutung von sorgfältiger Sicherheitswartung bei weitgenutzten Komponenten.
Einen besonderen Dank sprach das OTP Team an Wander Nauta aus, der die Sicherheitslücke verantwortungsvoll entdeckt und gemeldet hat. Solche Beiträge aus der Community sind ein wesentlicher Bestandteil, das Ökosystem kontinuierlich sicherer zu machen. Die neue Patchversion kann eigenständig auf bestehenden OTP 26 Installationen angewandt werden. Mit Hilfe des Tools otp_patch_apply können die aktualisierten Anwendungen selektiv ohne vollständigen Neuaufbau des Systems eingespielt werden, was den Wartungsaufwand deutlich minimiert. Die vollständige OTP Systemversion inklusive Dokumentation steht unter dem Git-Tag OTP-26.
2.5.13 zur Verfügung und kann von Entwicklern und Systemadministratoren eingesehen und genutzt werden. Die Laufzeitabhängigkeiten dieser Anwendungen stellen sicher, dass alle nötigen Komponenten wie etwa erts, kernel, stdlib und crypto in kompatiblen Versionen vorliegen. Damit wird ein reibungsloser Betrieb gewährleistet, der sowohl auf der Entwicklerseite als auch im Produktivbetrieb eine stabile Grundlage sichert.
Das Release zeigt, wie fortlaufende Pflege und gezielte Updates die verlässliche Nutzung einer komplexen Systemplattform unterstützen können. Gerade im Bereich von verteilten Systemen, Echtzeitanwendungen und sicherheitskritischen Bereichen kommt es auf kompromisslose Stabilität und vertrauenswürdige Komponenten an. Die schnelle Behebung von Bugs und Sicherheitslücken ist daher von großer Bedeutung für die Entwickler- und Anwendergemeinschaft rund um Erlang/OTP. Für Unternehmen und Projekte, die auf OTP 26 basieren, empfiehlt sich daher ein zeitnahes Update auf die Version 26.2.
5.13, um von den Verbesserungen zu profitieren. Die klaren Beschreibungen der behobenen Probleme helfen dabei einzuschätzen, welche Änderungen im individuellen Einsatzfall relevant sind und wie sie sich auf die bestehende Infrastruktur auswirken. Abschließend unterstreicht das OTP 26.2.
5.13 Patch Release die kontinuierliche Weiterentwicklung und den professionellen Umgang mit Sicherheitsaspekten innerhalb des Erlang-Ökosystems. Es zeigt exemplarisch, wie offene Zusammenarbeit von Community und Kernentwicklern zu besseren, sichereren Produkten führt. Somit festigt das aktuelle Patchpaket die Rolle von Erlang/OTP als stabile und moderne Plattform für nebenläufige sowie hochverfügbare Anwendungen in einer zunehmend vernetzten Welt.
