DFN-CERT-2016-0166 OpenSSL: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsmechanismen und das Ausspähen von Informationen [Linux][Unix][FreeBSD][Apple][Windows]

DFN-CERT-2016-0166 OpenSSL: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsmechanismen und das Ausspähen von Informationen [Linux][Unix][FreeBSD][Apple][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSSL Project OpenSSL <= 1.0.1q OpenSSL Project OpenSSL <= 1.0.2e Betroffene Plattformen: Apple Mac OS X Canonical Ubuntu Linux 15.10 FreeBSD GNU/Linux Microsoft Windows Zwei Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen und das Ausspähen von Informationen. Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.0.2f und 1.0.1r zur Verfügung gestellt, um diese Schwachstellen zu beheben. Canonical stellt für die Distribution Ubuntu 15.10 ein Backport-Sicherheitsupdate für das Paket libssl1.0.0 zur Verfügung, um die Schwachstelle CVE-2016-0701 zu beheben. Patch: OpenSSL Security Advisory [28 Jan 2016] https://www.openssl.org/news/secadv/20160128.txt

Patch:

Ubuntu Security Notice USN-2883-1

http://www.ubuntu.com/usn/usn-2883-1/

CVE-2016-0701: Schwachstelle in OpenSSL ermöglicht das Ausspähen von
Informationen

Eine Schwachstelle besteht in OpenSSL ab Version 1.0.2 durch die
Unterstützung von X9.42 Parameterdateien, da die Primzahlen in diesen
Dateien möglicherweise nicht sicher sind. Ein erfolgreicher Angriff,
basierend auf der Durchführung von mehreren Protokolleinleitungen unter
Benutzung immer gleicher privater DH-Exponenten durch den Partner, kann dazu
führen, dass die privaten DH-Exponenten des Partners aufgedeckt werden.
OpenSSL bietet zwar die Option SSL_OP_SINGLE_DH_USE für einmalige DH-Werte
(ephemeral DH bzw. DHE) an, aber diese Option ist nicht standardmäßig
eingeschaltet. Falls diese Option nicht an ist, dann benutzt ein Server
denselben DH-Exponenten für die Lebenszeit des Server-Prozesses und ist
somit anfällig für diesen Angriff. Die Behebung der Schwachstelle basiert
auf einer zusätzlichen Überprüfung, ob ein “q”-Parameters verfügbar ist und
der standardmäßigen Aktivierung der Option SSL_OP_SINGLE_DH_USE. Beide
Neuerungen können Leistungseinbussen zur Folge haben. Ein entfernter, nicht
authentisierter Angreifer kann Informationen ausspähen.

CVE-2015-3197: Schwachstelle in OpenSSL ermöglicht das Umgehen von
Sicherheitsmaßnahmen

Eine Schwachstelle in OpenSSL ermöglicht einem bösartigen Client die
Verhandlung von SSLv2-Chiffren, obwohl diese auf dem Server abgeschaltet
wurden, und die Vollendung der SSLv2-Protokolleinleitung, selbst bei
Abschaltung der SSLv2-Chiffren, solange das SSLv2-Protokoll nicht über
SSL_OP_NO_SSLv2 ebenfalls abgeschaltet wurde. Ein entfernter, nicht
authentisierter Angreifer in einer Man-in-the-Middle-Position kann
Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0166/

OpenSSL Security Advisory [28 Jan 2016]:
https://www.openssl.org/news/secadv/20160128.txt

Ubuntu Security Notice USN-2883-1:
http://www.ubuntu.com/usn/usn-2883-1/

Schwachstelle CVE-2015-3197 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3197

Schwachstelle CVE-2016-0701 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0701

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben