DFN-CERT-2016-0200 Nettle: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

DFN-CERT-2016-0200 Nettle: Mehrere Schwachstellen ermöglichen das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Nettle < 3.2 Betroffene Plattformen: Red Hat Fedora 23 Mehrere Schwachstellen bei der Berechnung kryptographischer Elliptischer Kurven in Nettle ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen. Für Fedora 23 stehen Sicherheitsupdates auf die Nettle Version 3.2 in Form der Pakete nettle-3.2-1.fc23 im Status 'testing' und mingw-nettle-3.2-1.fc23 im Status 'pending' zur Verfügung. Patch: Fedora Security Update FEDORA-2016-89968f88d2 (Fedora 23) https://bodhi.fedoraproject.org/updates/FEDORA-2016-89968f88d2

Patch:

Fedora Security Update FEDORA-2016-aa00f0631d (Fedora 23)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-aa00f0631d

CVE-2015-8805: Schwachstelle in Nettle ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine nicht näher genannte Schwachstelle bei der Berechnung von
P-256-Kurven in Nettle, wodurch es während der Berechnung zu einem
Vorzeichenfehler kommen kann. Das Verschlüsselungsverfahren wird dadurch
angreifbar.

CVE-2015-8804: Schwachstelle in Nettle ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine nicht näher genannte Schwachstelle bei der Berechnung von
P-384-Kurven in Nettle, wodurch es während der Berechnung auf
X86_64-Architekturen zu einem ‘Underflow’ kommen kann. Das
Verschlüsselungsverfahren wird dadurch angreifbar.

CVE-2015-8803: Schwachstelle in Nettle ermöglicht Umgehen von
Sicherheitsvorkehrungen

Es existiert eine Schwachstelle in Nettle aufgrund eines Fehlers in der
Berechnung für Elliptische Kurven. Dieser verursacht, dass in einer
Multiplikation mit ‘1’ die Koordinaten der P-256-Kurve fälschlicherweise
verändert werden. Möglicherweise kann dadurch das Verschlüsselungsverfahren
ausgehebelt werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0200/

Fedora Security Update FEDORA-2016-89968f88d2 (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-89968f88d2

Schwachstelle CVE-2015-8803 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8803

Schwachstelle CVE-2015-8804 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8804

Schwachstelle CVE-2015-8805 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-8805

Fedora Security Update FEDORA-2016-aa00f0631d (Fedora 23):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-aa00f0631d

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben