Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (23.07.2015):
Für Red Hat Enterprise Linux 6 stehen Sicherheitsupdates für GnuTLS für
Desktop, HPC Node, Server und Workstation zur Verfügung.
Version 2 (08.04.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3, Server 11 SP3
for VMware, Server 11 SP3, High Availability Extension 11 SP3 und Desktop
11 SP3 sowie SUSE Manager 1.7 for SLE 11 SP2 stehen Sicherheitsupdates zur
Behebung der Schwachstellen bereit.
Version 1 (25.03.2015):
Neues Advisory
Betroffene Software:
GNU GnuTLS
Betroffene Plattformen:
SUSE Linux Enterprise High Availability Extension 11 SP3 Enterprise
SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Manager 1.7 for SLE 11 SP2
Canonical Ubuntu Linux 10.04 Lts
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 14.10
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Workstation 6
Drei Schwachstellen in GnuTLS ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Ubuntu
hat für die Distributionen 14.10, 14.04 LTS, 12.04 LTS sowie 10.04 LTS
Sicherheitsupdates bereitgestellt, die die Schwachstellen CVE-2015-0294 und
CVE-2015-0282 beheben. Die Schwachstelle CVE-2014-8155 wird nur vom
Sicherheitsupdate für die Distribution 10.04 LTS adressiert.
Patch:
USN-2540-1
http://www.ubuntu.com/usn/usn-2540-1/
Patch:
SUSE Security Update SUSE-SU-2015:0675-1
https://www.suse.com/support/update/announcement/2015/suse-su-20150675-1.html
Patch:
Red Hat Security Advisory RHSA-2015:1457
http://rhn.redhat.com/errata/RHSA-2015-1457.html
CVE-2014-8155: Schwachstelle in GnuTLS ermöglicht das Umgehen von
Sicherheitsvorkehrungen
Es besteht eine Schwachstelle in GnuTLS, die keine Datums-Zeit-Abfrage bei
der Prüfung von CA-Zertifikaten durchführt. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle dazu ausnutzen, um mit
ungültigen Zertifikaten Sicherheitsvorkehrungen zu umgehen.
CVE-2015-0294: Schwachstelle in GnuTLS ermöglicht das Umgehen von
Sicherheitsmaßnahmen
Eine Schwachstelle in GnuTLS führt dazu, dass bei dem Import eines
Zertifikates nicht geprüft wird, ob die zwei Signatur-Algorithmen
übereinstimmen. Ein entfernter, nicht authentifizierter Angreifer kann
Sicherheitsmaßnahmen umgehen.
CVE-2015-0282: Schwachstelle in GnuTLS ermöglicht das Umgehen von
Sicherheitsmaßnahmen
GnuTLS überprüft bei RSA PKCS#1 Signaturen nicht, ob der Hash-Algorithmus,
der in der Signatur aufgeführt wird, mit dem im Zertifikat identisch ist.
Dadurch ist eine Downgrade-Attacke möglich und das Zertifikat könnte mit MD5
signiert sein, auch wenn dieser Algorithmus eigentlich verboten ist. Ein
entfernter, nicht authentifizierter Angreifer kann so
Sicherheitsvorkehrungen umgehen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0399/
Schwachstelle CVE-2015-0282 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0282
Schwachstelle CVE-2015-0294 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0294
USN-2540-1:
http://www.ubuntu.com/usn/usn-2540-1/
Schwachstelle CVE-2014-8155 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8155
SUSE Security Update SUSE-SU-2015:0675-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150675-1.html
Red Hat Security Advisory RHSA-2015:1457:
http://rhn.redhat.com/errata/RHSA-2015-1457.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
