UPDATE: DFN-CERT-2015-1213 Erlang/OTP: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][SuSE]

UPDATE: DFN-CERT-2015-1213 Erlang/OTP: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (22.02.2016):
Für die Distribution openSUSE 13.2 steht ein Sicherheitsupdate bereit.
Version 2 (27.08.2015):
Die Sicherheitsupdates für Fedora 21 und Fedora 22 befinden sich im Status
‘stable’ und für Fedora 23 wird ein Sicherheitsupdate im Status ‘testing’
bereitgestellt.
Bitte beachten Sie, dass bei Fedora eine Systemumstellung stattgefunden
hat und darum die alten Referenzen nicht mehr funktionieren. Wenn Sie auf
eine alte Referenz klicken und dann die Paket-Information aus der Referenz
entfernen, gelangen Sie auf die neue Patch-Seite. (In dieser Meldung sind
die Referenzen allerdings angepasst.)
Version 1 (10.08.2015):
Neues Advisory

Betroffene Software:

Erlang/OTP

Betroffene Plattformen:

openSUSE 13.2
Red Hat Fedora 21
Red Hat Fedora 22
Red Hat Fedora 23
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in der TLS-1.0 Implementierung von Erlang/OTP ermöglicht
einem entfernten, nicht authentifizierten Angreifer das Ausspähen von
Informationen.

Für die Distributionen Fedora 21 und 22 sowie für Fedora EPEL 7 stehen
Sicherheitsupdates im Status ‘testing’ zur Verfügung.

Patch:

Fedora Security Update FEDORA-2015-12923

https://bodhi.fedoraproject.org/updates/FEDORA-2015-12923

Patch:

Fedora Security Update FEDORA-2015-12970

https://bodhi.fedoraproject.org/updates/FEDORA-2015-12970

Patch:

Fedora Security Update FEDORA-EPEL-2015-7562

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7562

Patch:

Fedora Security Update erlang-17.4-5.fc23

https://bodhi.fedoraproject.org/updates/erlang-17.4-5.fc23

Patch:

openSUSE Security Update openSUSE-SU-2016:0523-1

https://lists.opensuse.org/opensuse-updates/2016-02/msg00124.html

CVE-2015-2774: Schwachstelle in Erlang/OTP ermöglicht Ausspähen von
Informationen

Erlang/OTP ist aufgrund einer fehlenden Überprüfung von Fülldaten in der
TLS-1.0 Implementierung verwundbar gegenüber ‘Poodle’-Angriffen. Dadurch
können beliebige Auffüllbytes verwendet werden. Diese Schwäche kann in einem
Man-in-the-middle-Angriff ausgenutzt werden, um Teile der Nachricht im
Klartext zu erhalten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1213/

Fedora Security Update FEDORA-2015-12923:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-12923

Fedora Security Update FEDORA-2015-12970:
https://bodhi.fedoraproject.org/updates/FEDORA-2015-12970

Schwachstelle CVE-2015-2774 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2774

Fedora Security Update FEDORA-EPEL-2015-7562:
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2015-7562

Fedora Security Update erlang-17.4-5.fc23:
https://bodhi.fedoraproject.org/updates/erlang-17.4-5.fc23

openSUSE Security Update openSUSE-SU-2016:0523-1:
https://lists.opensuse.org/opensuse-updates/2016-02/msg00124.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben