UPDATE: DFN-CERT-2015-1019 Network Security Services (NSS): Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][RedHat]

UPDATE: DFN-CERT-2015-1019 Network Security Services (NSS): Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (02.09.2015):
Für verschiedene Varianten von Red Hat Enterprise Linux 5 stehen
Sicherheitsupdates in der Form aktualisierter NSS-Pakete zur Verfügung.
Version 2 (18.08.2015):
Für die Debian Distributionen Wheezy (oldstable), Jessie (stable) und
Stretch (testing) stehen Sicherheitsupdates zur Verfügung.
Version 1 (10.07.2015):
Neues Advisory

Betroffene Software:

Mozilla Network Security Services <= 3.19.1 Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Canonical Ubuntu Linux 15.04 Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie Debian Linux 9.0 Stretch Red Hat Enterprise Linux Desktop 5 Client Red Hat Enterprise Linux Desktop 5 Workstation/Client Red Hat Enterprise Linux Server 5 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um Sicherheitsvorkehrungen zu umgehen und falsche Informationen, in Form von digitalen Signaturen, darzustellen. Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 14.10 und Ubuntu 15.04 Sicherheitsupdates bereit. Patch: Ubuntu Security Notice USN-2672-1 http://www.ubuntu.com/usn/usn-2672-1/

Patch:

Debian Security Advisory DSA-3336-1

https://www.debian.org/security/2015/dsa-3336

Patch:

Red Hat Security Advisory RHSA-2015:1664

http://rhn.redhat.com/errata/RHSA-2015-1664.html

CVE-2015-2730: Schwachstelle in NSS ermöglicht das Darstellen falscher
Informationen

Die Verifizierung von ECDSA-Signaturen ist bei bestimmten Signaturen
fehleranfällig. Die Implementierung der Elliptical Curve Cryptography
(ECC)-Multiplikation für die Überprüfung des Elliptic Curve Digital
Signature Algorithm (ECDSA) in Network Security Services (NSS) arbeitet bei
Ausnahmefällen nicht korrekt. Ein entfernter, nicht authentifizierter
Angreifer kann diese Schwachstelle ausnutzen, um falsche Signaturen zu
erzeugen.

CVE-2015-2721: Schwachstelle in NSS erlaubt das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Network Security Services (NSS) besteht darin, dass
der Client ECDHE_ECDSA-Schlüsselaustausch zulässt, wenn der Server keine
ServerKeyExchange-Nachricht sendet, sondern stattdessen den Handshake
abbricht. Der NSS übernimmt dann den EC-Schlüssel aus dem ECDSA-Zertifikat.
Hierdurch wird das TLS-Protokoll verletzt und dies hat außerdem einige
Sicherheitsfolgen für die weiterführende Vertraulichkeit. Diese
Schwachstelle wurde in NSS Version 3.19.1 behoben. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1019/

Schwachstelle CVE-2015-2721 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2721

Schwachstelle CVE-2015-2730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2730

Ubuntu Security Notice USN-2672-1:
http://www.ubuntu.com/usn/usn-2672-1/

Debian Security Advisory DSA-3336-1:
https://www.debian.org/security/2015/dsa-3336

Red Hat Security Advisory RHSA-2015:1664:
http://rhn.redhat.com/errata/RHSA-2015-1664.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben