DFN-CERT-2015-1011 OpenSSL: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsmaßnahmen [Linux][Unix][Apple][Windows]

DFN-CERT-2015-1011 OpenSSL: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsmaßnahmen [Linux][Unix][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSSL Project OpenSSL 1.0.1n
OpenSSL Project OpenSSL 1.0.1o
OpenSSL Project OpenSSL 1.0.2b
OpenSSL Project OpenSSL 1.0.2c

Betroffene Plattformen:

Apple Mac OS X
Unix Unix
GNU/Linux
Microsoft Windows

Eine Schwachstelle in OpenSSL ermöglicht bestimmte Sicherheitsmechanismen zu
umgehen, welche die Ausstellung und Verwendung von ungültigen Zertifikaten
verhindern sollen. Ein entfernter, nicht authentisierter Angreifer kann
dadurch einen sogenannten Alternative Chains Certificate Forgery
durchführen, wodurch weitere nicht näher spezifizierte Angriffe möglich
werden.

Für OpenSSL 1.0.2b/1.0.2c wird ein Sicherheitsupdate auf Version 1.0.2d, für
OpenSSL 1.0.1n/1.0.1o auf Version 1.0.1p zur Verfügung gestellt. Die OpenSSL
Versionen 1.0.0 und 0.9.8 gelten als nicht betroffen, da diese keine
alternativen Ketten unterstützen.

Patch:

OpenSSL Security Advisory 20150709

https://www.openssl.org/news/secadv_20150709.txt

CVE-2015-1793: Schwachstelle in OpenSSL erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in OpenSSL 1.0.1n und 1.0.2b tritt bei der Überprüfung
von Zertifikatsketten auf. Wenn der erste Versuch eine Kette aufzubauen
scheitert, wird versucht eine alternative Kette zu finden. Ein Fehler in der
Implementierung der betreffend Logik kann dazu führen, dass bestimmte
Prüfungen auf nicht vertrauenswürdige Zertifikate dabei übergangen werden
können, z.B. die Überprüfung des CA Flags. Dadurch ist es möglich, ein
gültiges End-Entitiy-Zertifikat (“leaf certificate”), für welches das CA
Flag “false” gesetzt ist, dennoch als CA zu verwenden, um ein ungültiges
Zertifikat auszustellen. Diese Schwachstelle betrifft alle Anwendungen, die
Zertifikate verifizieren, inklusive SSL/TLS/DTLS-Clients und
SSL/TLS/DTLS-Server, die Client-Authentication verwenden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1011/

OpenSSL Security Advisory 20150709:
https://www.openssl.org/news/secadv_20150709.txt

Schwachstelle CVE-2015-1793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1793

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben