DFN-CERT-2015-1971 LibreSSL: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][SuSE]

DFN-CERT-2015-1971 LibreSSL: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

LibreSSL

Betroffene Plattformen:

openSUSE 13.2
openSUSE Leap 42.1

Zwei Schwachstellen in LibreSSL ermöglichen einem entfernten, nicht
authentifizierten Angreifer das Ausspähen von Informationen und die
Durchführung von Denial-of-Service-Angriffen.

Für openSUSE Leap 42.1 und openSUSE 13.2 stehen Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2015:2318-1

http://lists.opensuse.org/opensuse-updates/2015-12/msg00087.html

CVE-2015-3195: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

In OpenSSL existiert eine Schwachstelle bei der Verarbeitung von fehlerhaft
gebildeten X509_ATTRIBUTE Strukturen, wodurch es zu einem Speicherleck
(memory leak) kommt. Derartige Strukturen werden von den PKCS#7 und CMS
Routinen verwendet und somit sind alle Anwendungen davon betroffen, die
PKCS#7 oder CMS Daten aus nicht vertrauenswürdigen Quellen lesen. SSL/TLS
ist nicht betroffen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um CMS Daten oder andere sensible
Informationen auszuspähen. Diese Schwachstelle betrifft OpenSSL Versionen
1.0.2 und 1.0.1, 1.0.0 und 0.9.8.

CVE-2015-3194: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

In der Routine zur Überprüfung von Signaturen existiert eine Schwachstelle,
die bei der Prüfung einer ASN.1 Signatur, die den RSA PSS Algorithmus
verwendet, und nicht vorhandenem “mask generation function” Parameter zu
einer NULL-Zeiger-Dereferenzierung und einem Absturz führt. Diese Routine
wird verwendet, um Signaturen von Zertifikaten zu verifizieren, sodass jede
Zertifikatsprüfung zu einem Absturz führt. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um jede
Anwendung, die eine Zertifikatsüberprüfung durchführt, zum Absturz zu
bringen und somit einen Denial-of-Service-Zustand herbeizuführen. Von der
Schwachstelle betroffen sind unter anderem OpenSSL Clients und Server, die
Client-Authentisierung aktiviert haben. Die Schwachstelle betrifft OpenSSL
Versionen 1.0.2 und 1.0.1.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1971/

Schwachstelle CVE-2015-3194 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3194

Schwachstelle CVE-2015-3195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3195

openSUSE Security Update openSUSE-SU-2015:2318-1:
http://lists.opensuse.org/opensuse-updates/2015-12/msg00087.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben