Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 12 (03.12.2014):
Für SUSE Linux Enterprise Desktop 12 steht ein Sicherheitsupdate für
compat-openssl098 zur Verfügung, welches die Schwachstelle CVE-2014-3513
nicht benennt. Die bereitstehenden Sicherheitsupdates für openssl für SUSE
Linux Enterprise Software Development Kit 12, SUSE Linux Enterprise Server
12 und SUSE Linux Enterprise Desktop 12 adressieren alle vier
Schwachstellen.
Version 11 (13.11.2014):
SUSE stellt für SUSE Studio Onsite 1.3 und SUSE Manager 1.7 for SLE 11 SP2
Sicherheitsupdates in der Form aktualisierter Pakete von openssl 0.9.8j
bereit, wodurch CVE-2014-3566, CVE-2014-3567, CVE-2014-3568, nicht jedoch
CVE-2014-3513 adressiert werden.
Version 10 (11.11.2014):
SUSE stellt für SUSE Linux Enterprise Server 11 SP1 LTSS und SUSE Linux
Enterprise Server 11 SP2 LTSS Sicherheitsupdates bereit. Auch für SUSE
Linux Enterprise Server 10 SP4 LTSS wurde ein Sicherheitsupdate
veröffentlicht, dieses adressiert die Schwachstelle CVE-2014-3513, im
Gegensatz zu den beiden vorgenannten, nicht.
Version 9 (06.11.2014):
SUSE stellt für SUSE Linux Enterprise 11 SP3 für Software Development Kit,
Server, Server für VMware und Desktop Sicherheitsupdates bereit, welche
die Schwachstellen CVE-2014-3566, CVE-2014-3567 und CVE-2014-3568
adressieren.
Version 8 (05.11.2014):
Für SUSE Linux Enterprise Security Module 11 SP3 wurde ein
Sicherheitsupdate veröffentlicht.
Version 7 (04.11.2014):
NetBSD hat die Schwachstelle für alle unterstützten NetBSD-Branches in
allen aktuellen Versionen behoben.
Version 6 (31.10.2014):
Für HP-UX B.11.11, B.11.23 und B.11.31, welche OpenSSL vor Version 0.9.8zc
einsetzen, stehen Sicherheitsupdates zur Verfügung, welche die drei
relevanten Schwachstellen beheben.
Version 5 (29.10.2014):
Für openSUSE 12.3 und openSUSE 13.1 stehen Sicherheitsupdates bereit.
Version 4 (23.10.2014):
Red Hat stellt für den Storage Server 2.1 ein Sicherheitsupdate zur
Verfügung, welches eine über Backports korrigierte OpenSSL Version zur
Behebung der Schwachstellen CVE-2014-3513, CVE-2014-3566 und CVE-2014-3567
enthält.
Version 3 (22.10.2014):
FreeBSD stellt für alle aktuell unterstützten Versionen Sicherheitsupdates
bereit.
Version 2 (17.10.2014):
Ubuntu stellt Sicherheitsupdates für Ubuntu 10.04 LTS, 12.04 LTS und 14.04
LTS zur Verfügung und behebt damit die Schwachstellen CVE-2014-3513 (10.04
LTS ist nicht betroffen), CVE-2014-3567 und CVE-2014-3566.
Debian stellt für Debian 7.6 (Wheezy) Updates bereit.
Red Hat bietet ebenfalls Patches an für die RHEL Varianten Desktop 6 und
7, HPC Node 6 und 7, Server 6, 7 und EUS 6.6.z sowie Workstation 6 und 7.
Version 1 (16.10.2014):
Neues Advisory
Betroffene Software:
OpenSSL Project OpenSSL <= 0.9.8ZB
OpenSSL Project OpenSSL <= 1.0.0N
OpenSSL Project OpenSSL <= 1.0.1I
Betroffene Plattformen:
Juniper Junos Space
SUSE Linux Enterprise Security Module 11 SP3
SUSE Software Development Kit 11 SP3 Enterprise
SUSE Software Development Kit 12 Enterprise
SUSE Manager 1.7 for SLE 11 SP2
SUSE Studio Onsite 1.3
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Debian Linux 7.6 Wheezy
FreeBSD < 8.4-RELEASE-p17
FreeBSD < 8.4-STABLE
FreeBSD < 9.1-RELEASE-p20
FreeBSD < 9.2-RELEASE-p13
FreeBSD < 9.3-RELEASE-p3
FreeBSD < 9.3-STABLE
FreeBSD < 10.0-RELEASE-p10
FreeBSD < 10.1-BETA3-p1
FreeBSD < 10.1-PRERELEASE
FreeBSD < 10.1-RC1-p1
FreeBSD < 10.1-RC2-p1
FreeBSD < 10.1-RC3
GNU/Linux
HP-UX family of operating systems B.11.11
HP-UX family of operating systems B.11.23
HP-UX family of operating systems B.11.31
Juniper JUNOS
Juniper NetScreen ScreenOS
NetBSD >= 5.1
NetBSD <= 5.1.4
NetBSD >= 5.2
NetBSD <= 5.2.2
NetBSD >= 6.0
NetBSD <= 6.0.6
NetBSD >= 6.1
NetBSD <= 6.1.5
openSUSE 12.3
openSUSE 13.1
openSUSE 13.2
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Server 10 SP4 LTSS
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 12
Red Hat Enterprise Linux 6 Server
Red Hat Enterprise Linux 6 Workstation
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 7
Red Hat Storage Server 2.1
Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht
authentifizierten Angreifer, Informationen auszuspähen oder
Denial-of-Service-Angriffe durchzuführen.
Von der Schwachstelle CVE-2014-3513 sind nur die OpenSSL Versionen 1.0.1 bis
1.0.1i betroffen.
Patch:
Juniper Networks Security Advisory JSA10656
http://kb.juniper.net/index?page=content&id=JSA10656&actp=RSS
Patch:
OpenSSL Hersteller Advisory OpenSSL-secadv_20141015
https://www.openssl.org/news/secadv_20141015.txt
Patch:
Debian Security Advisory DSA-3053-1
https://www.debian.org/security/2014/dsa-3053
Patch:
Red Hat Security Advisory RHSA-2014-1652
https://rhn.redhat.com/errata/RHSA-2014-1652.html
Patch:
Ubuntu Security Notice USN-2385-1
http://www.ubuntu.com/usn/usn-2385-1/
Patch:
FreeBSD Security Advisory FreeBSD-SA-14%3A23.openssl
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A23.openssl.asc
Patch:
Red Hat Security Advisory RHSA-2014:1692
http://rhn.redhat.com/errata/RHSA-2014-1692.html
Patch:
openSUSE Security Update: openSUSE-SU-2014:1331-1
http://lists.opensuse.org/opensuse-updates/2014-10/msg00035.html
Patch:
HP Security Advisory c04492722
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04492722
Patch:
NetBSD Security Advisory NetBSD-SA2014-015
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-015.txt.asc
Patch:
SUSE Security Update: SUSE-SU-2014:1357-1
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00001.html
Patch:
SUSE Security Update: SUSE-SU-2014:1361-1
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00003.html
Patch:
SUSE Security Update: SUSE-SU-2014:1386-1
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00006.html
Patch:
SUSE Security Update: SUSE-SU-2014:1387-1
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00007.html
Patch:
openSUSE Security Update: SUSE-SU-2014:1387-2
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00012.html
Patch:
openSUSE Security Update openSUSE-SU-2014:1426-1
http://lists.opensuse.org/opensuse-updates/2014-11/msg00059.html
Patch:
SUSE Security Update: SUSE-SU-2014:1512-1
https://www.suse.com/support/update/announcement/2014/suse-su-20141512-1.html
Patch:
SUSE Security Update: SUSE-SU-2014:1524-1
https://www.suse.com/support/update/announcement/2014/suse-su-20141524-1.html
CVE-2014-3568: Schwachstelle in der Auswertung von Kompilationsvorgaben in
OpenSSL
Auch wenn OpenSSL mit der Option “no-ssl3” kompiliert wird, ist es Servern
trotzdem möglich, SSL 3.0 Verhandlungen zu akzeptieren und zum Abschluss zu
bringen und Clients ist es möglich, solche Verhandlungen anzustoßen. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, wenn die Benutzer der Software ausschließlich auf die
Kompilationsoption vertrauen und SSL 3.0 nicht explizit für Verhandlungen in
der Konfiguration verbieten, da das Protokoll als unsicher gilt.
CVE-2014-3567: Schwachstelle in der Speicherverwaltung von OpenSSL
ermöglicht DoS-Angriffe
Ein mit OpenSSL geschützter Server gibt Speicher nicht wieder frei, wenn die
Integritätsprüfung eines empfangenen Sitzungstickets fehlschlägt. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service-Zustand herbeizuführen, indem er eine
große Anzahl von ungültigen Sitzungstickets an den Server sendet.
CVE-2014-3513: Schwachstelle in der DTLS SRTP Erweiterung von OpenSSL
ermöglicht DoS-Angriffe
Eine Schwachstelle in der DTLS SRTP Erweiterung von OpenSSL beruht darauf,
dass bei dem Empfang bestimmter Handshake-Nachrichten bis zu 64Kb Speicher
nicht freigegeben werden. Ein entfernter, nicht authentifizierter Angreifer
kann diese Schwachstelle ausnutzen, um mittels speziell präparierter
Nachrichten einen Denial-of-Service-Zustand herbeizuführen. Betroffen sind
alle angegebenen OpenSSL-Versionen, die nicht mit OPENSSL_NO_SRTP kompiliert
wurden. Die Schwachstelle kann unabhängig davon, ob SRTP benutzt wird oder
konfiguriert ist, ausgenutzt werden.
CVE-2014-3566: POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet,
ermöglicht das Ausspähen von Informationen
Das SSL 3.0 Protokoll, so wie es u.a. von OpenSSL bis Version 1.0.1i
implementiert wird, benutzt nicht deterministisches “Padding”. Padding ist
das Auffüllen der Nachricht mit Bytes bis zur nächsten vollen Blockgrenze
für Kryptoalgorithmen im CBC-Modus (Cipher-Block-Chaining). Dieses Padding
wird nicht durch den MAC (Message Authentication Code), d.h. eine
kryptografische Prüfsumme, überprüft. Der Empfänger von verschlüsselten
Nachrichten kann also die Integrität des Paddings nicht vollständig
überprüfen. Diese Schwäche des SSL 3.0 Protokolls kann von einem entfernten,
nicht authentifizierten Angreifer in einem Man-in-the-middle-Angriff
ausgenutzt werden, um Teile der Nachricht im Klartext zu erhalten, indem er
das Padding entsprechend modifiziert (Padding-Oracle-Angriff). Diese
Protokollschwäche wurde von seinen Entdeckern “POODLE” getauft.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1366/
Juniper Networks Security Advisory JSA10656:
http://kb.juniper.net/index?page=content&id=JSA10656&actp=RSS
OpenSSL Hersteller Advisory OpenSSL-secadv_20141015:
https://www.openssl.org/news/secadv_20141015.txt
Schwachstelle CVE-2014-3513 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3513
Schwachstelle CVE-2014-3566 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
Schwachstelle CVE-2014-3567 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3567
Schwachstelle CVE-2014-3568 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3568
Debian Security Advisory DSA-3053-1:
https://www.debian.org/security/2014/dsa-3053
Red Hat Security Advisory RHSA-2014-1652:
https://rhn.redhat.com/errata/RHSA-2014-1652.html
Ubuntu Security Notice USN-2385-1:
http://www.ubuntu.com/usn/usn-2385-1/
FreeBSD Security Advisory FreeBSD-SA-14%3A23.openssl:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3A23.openssl.asc
Red Hat Security Advisory RHSA-2014:1692:
http://rhn.redhat.com/errata/RHSA-2014-1692.html
openSUSE Security Update: openSUSE-SU-2014:1331-1:
http://lists.opensuse.org/opensuse-updates/2014-10/msg00035.html
HP Security Advisory c04492722:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04492722
NetBSD Security Advisory NetBSD-SA2014-015:
http://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2014-015.txt.asc
SUSE Security Update: SUSE-SU-2014:1357-1:
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00001.html
SUSE Security Update: SUSE-SU-2014:1361-1:
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00003.html
SUSE Security Update: SUSE-SU-2014:1386-1:
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00006.html
SUSE Security Update: SUSE-SU-2014:1387-1:
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00007.html
openSUSE Security Update: SUSE-SU-2014:1387-2:
http://lists.opensuse.org/opensuse-security-announce/2014-11/msg00012.html
openSUSE Security Update openSUSE-SU-2014:1426-1:
http://lists.opensuse.org/opensuse-updates/2014-11/msg00059.html
SUSE Security Update: SUSE-SU-2014:1512-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141512-1.html
SUSE Security Update: SUSE-SU-2014:1524-1:
https://www.suse.com/support/update/announcement/2014/suse-su-20141524-1.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
