DFN-CERT-2015-0737 TLS/Logjam: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsmaßnahmen [Linux][Unix][AIX][FreeBSD][NetBSD][OpenBSD][Solaris][Windows][Netzwerk]

DFN-CERT-2015-0737 TLS/Logjam: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsmaßnahmen [Linux][Unix][AIX][FreeBSD][NetBSD][OpenBSD][Solaris][Windows][Netzwerk]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Apple Safari
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 Google Chrome Mozilla Firefox Mozilla SeaMonkey Apple Mac OS X FreeBSD GNU/Linux HP-UX family of operating systems IBM AIX Microsoft Windows NetBSD OpenBSD Oracle Solaris Betroffene Plattformen: F5 Networks BIG-IP Systeme Apple Mac OS X FreeBSD GNU/Linux HP-UX family of operating systems IBM AIX Microsoft Windows NetBSD OpenBSD Oracle Solaris Eine Schwachstelle in dem Handshake des TLS-Protokolls vor Version 1.2 ermöglicht einem entfernten, nicht authentifizierten Angreifer durch einen Man-in-the-middle-Angriff die verwendete Verschlüsselung auf eine unsichere Verschlüsselung durch eine 512-Bit DHE Gruppe zu zwingen. Dadurch kann der Angreifer den Schlüssel leichter berechnen und in der Folge Daten lesen und manipulieren. Der Angriff setzt die Unterstützung des US-EXPORT-Modus voraus. Es handelt sich bei der Schwachstelle um einen Fehler in der Spezifikation von TLS und deshalb ist zu erwarten, dass alle Produkte, die TLS implementieren, betroffen sind. Diese Schwachstelle ist unter dem Namen Logjam bekannt. Verschiedene Hersteller arbeiten bereits an Sicherheitsupdates. F5 Networks benennt BIG-IP PSM bis einschließlich Version 11.4.1 als verwundbar. Das Konfigurationswerkzeug ist aber nur verwundbar in den Versionen 10.1.0 - 10.2.4 und es sind lediglich solche Client SSL-Profile betroffen, für die COMPAT-, EXP- oder EXPORT Ciphers zugelassen ist. CVE-2015-4000: TLS: Eine Schwachstelle ermöglicht Umgehen von Sicherheitsmaßnahmen Eine Schwachstelle im Handshake des TLS-Protokolls Version 1.2 und früher führt dazu, dass bei der Aushandlung der zu verwendenden Diffie-Hellman-Verschlüsselung (DHE) ein Teil der Kommunikation nicht signiert stattfindet. Der Client sendet zuerst eine Liste mit Vorschlägen von Algorithmen, die für die Verschlüsselung verwendet werden können, an den Server und dieser wählt einen Algorithmus aus der Liste aus. Die Verbindung ist zu dem Zeitpunkt, zu dem der Client die Liste sendet, noch nicht signiert. Durch einen Man-in-the-Middle-Angriff kann die Liste so verändert werden, dass aus einem "ClientHello DHE" ein "ClientHello DHE_EXPORT" wird und der Server eine DHE 512 Bit-Gruppe auswählt. Der Angreifer modifiziert die Serverantwort entsprechend von "ServerHello DHE_EXPORT" zu "ServerHello DHE". Der Client bietet eine unsichere 512-Bit Gruppe im normalen Modus nicht von sich aus an, akzeptiert diese aber, wenn sie vom Server vorgeschlagen wird. Voraussetzung ist, dass auf dem Server der EXPORT-Modus (DHE_EXPORT) aktiviert ist. Viele Server im Internet unterstützen für den EXPORT-Modus die gleichen Gruppen, wodurch es möglich wird, einen Großteil der für den Angriff notwendigen Berechnungen vorab zu erledigen. Die Schwachstelle ist unter dem Namen Logjam bekannt. Referenzen: Dieses Advisory finden Sie auch im DFN-CERT Portal unter: https://portal.cert.dfn.de/adv/DFN-CERT-2015-0737/

“The Logjam Attack” – Publikation der Forschungsgruppe (Englisch):
https://weakdh.org/

21.5.15: Heise Newsticker Artikel – Logjam Attacke Verschluesselung von
zehntausenden Servern gefaehrdet:
http://www.heise.de/newsticker/meldung/Logjam-Attacke-Verschluesselung-von-zehntausenden-Servern-gefaehrdet-2657502.html

OpenSSL Blogeintrag bzgl. Logjam:
https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/

Schwachstelle CVE-2015-4000 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000

Citrix Security Advisory CTX201114:
http://support.citrix.com/article/CTX201114

F5 Networks Security Advisory sol16674:
http://support.f5.com/kb/en-us/solutions/public/16000/600/sol16674.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben