Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (21.03.2016):
F5 Networks aktualisiert seine Schwachstellenmeldung aufgrund der
Verfügbarkeit verschiedener Sicherheitsupdates, unter anderem für das
Protocol Security Module in Form der Version 11.4.1 HF10.
Version 2 (07.10.2015):
F5 Networks aktualisiert seine Schwachstellenmeldung aufgrund der
Verfügbarkeit des Sicherheitsupdates für das Protocol Security Module in
Form der Version 11.2.1 HF15.
Version 1 (18.08.2015):
Neues Advisory

Betroffene Software:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 OpenSSL Project OpenSSL <= 0.9.8R OpenSSL Project OpenSSL <= 1.0.0D OpenSSL Project OpenSSL <= 1.0.1m OpenSSL Project OpenSSL <= 1.0.2a Betroffene Plattformen: F5 Networks BIG-IP Systeme Eine Schwachstelle in der OpenSSL-Komponente ermöglicht es einem entfernten, nicht authentifizierten Angreifer Denial-of-Service-Angriffe durchzuführen. F5 Networks teilt mit, welche Produkte und Versionen von dieser Schwachstelle betroffen sind. Unter anderem sind die BIG-IP PSM Versionen 10.0.0 bis 10.2.4, sowie die Versionen 11.0.0 - 11.4.1 betroffen. Ein Sicherheitsupdate ist derzeit nicht verfügbar. Patch: F5 Networks Security Advisory sol16938 http://support.f5.com/kb/en-us/solutions/public/16000/900/sol16938.html?ref=rss

CVE-2015-1788: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in OpenSSL in der Verarbeitung von ECParameters führt zu
einer Endlosschleife, wenn für die Auswahl der verwendeten elliptischen
Kurve ein manipuliertes “binary polynomial”-Feld verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1280/

Schwachstelle CVE-2015-1788 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1788

F5 Networks Security Advisory sol16938:
http://support.f5.com/kb/en-us/solutions/public/16000/900/sol16938.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (07.10.2015):
F5 Networks aktualisiert seine Schwachstellenmeldung aufgrund der
Verfügbarkeit des Sicherheitsupdates für das Protocol Security Module in
Form der Version 11.2.1 HF15.
Version 1 (18.08.2015):
Neues Advisory

Betroffene Software:

F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4 F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1 OpenSSL Project OpenSSL <= 0.9.8R OpenSSL Project OpenSSL <= 1.0.0D OpenSSL Project OpenSSL <= 1.0.1m OpenSSL Project OpenSSL <= 1.0.2a Betroffene Plattformen: F5 Networks BIG-IP Systeme Eine Schwachstelle in der OpenSSL-Komponente ermöglicht es einem entfernten, nicht authentifizierten Angreifer Denial-of-Service-Angriffe durchzuführen. F5 Networks teilt mit, welche Produkte und Versionen von dieser Schwachstelle betroffen sind. Unter anderem sind die BIG-IP PSM Versionen 10.0.0 bis 10.2.4, sowie die Versionen 11.0.0 - 11.4.1 betroffen. Ein Sicherheitsupdate ist derzeit nicht verfügbar. Patch: F5 Networks Security Advisory sol16938 http://support.f5.com/kb/en-us/solutions/public/16000/900/sol16938.html?ref=rss

CVE-2015-1788: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in OpenSSL in der Verarbeitung von ECParameters führt zu
einer Endlosschleife, wenn für die Auswahl der verwendeten elliptischen
Kurve ein manipuliertes “binary polynomial”-Feld verwendet wird. Ein
entfernter, nicht authentifizierter Angreifer kann einen
Denial-of-Service-Angriff durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1280/

Schwachstelle CVE-2015-1788 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1788

F5 Networks Security Advisory sol16938:
http://support.f5.com/kb/en-us/solutions/public/16000/900/sol16938.html?ref=rss

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.