DFN-CERT-2015-1723 Bouncy Castle: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][SuSE]

DFN-CERT-2015-1723 Bouncy Castle: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Bouncy Castle <= 1.5 Betroffene Plattformen: openSUSE 13.1 openSUSE 13.2 openSUSE Leap 42.1 Eine Schwachstelle in 'bouncycastle' ermöglicht einem entfernten, nicht authentisierten Angreifer Sicherheitsvorkehrungen zu umgehen und in der Folge, als Man-in-the-Middle, möglicherweise sensible Informationen aus verschlüsselten Verbindungen auszuspähen. Für die Distributionen openSUSE Leap 42.1, openSUSE 13.2 und 13.1 stehen Sicherheitsupdates für Bouncy Castle auf Version 1.53 zur Verfügung. Patch: openSUSE Security Update openSUSE-SU-2015:1911-1 http://lists.opensuse.org/opensuse-updates/2015-11/msg00036.html

CVE-2015-7940: Schwachstelle in bouncycastle erlaubt Umgehen von
Sicherheitsvorkehrungen

In ‘bouncycastle’ Versionen älter als 1.51 existiert eine Schwachstelle,
welche sogenannte ‘invalid curve’-Angriffe gegen TLS-Implementierungen
basierend auf elliptischen Kurven ermöglicht. Hierbei zwingt ein Angreifer
einen Server dazu, für die Berechnung des asymmetrischen Schlüssels (für den
anschließenden symmetrischen Schlüsselaustausch), anstelle eines Punktes auf
einer als sicher empfohlenen elliptischen Kurve, einen Punkt außerhalb der
definierten Kurve zu verwenden. Wenn dieser Punkt nun zu einer anderen Kurve
gehört, die nur aus wenigen Punkten besteht, ist es dem Angreifer möglich,
mit nur wenigen Anfragen durch Ausprobieren den auf der Elliptic Curve
Cryptography basierenden privaten Schlüssel des Servers zu ermitteln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1723/

Schwachstelle CVE-2015-7940 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7940

openSUSE Security Update openSUSE-SU-2015:1911-1:
http://lists.opensuse.org/opensuse-updates/2015-11/msg00036.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben