Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 2 (23.02.2017):
Für Fedora EPEL 5 steht ein Sicherheitsupdate in Form des Pakets
‘openssl101e-1.0.1e-10.el5’ im Status ‘testing’ bereit.
Version 1 (30.01.2017):
Neues Advisory
Betroffene Software:
OpenSSL Project OpenSSL
Betroffene Plattformen:
Debian Linux 8.7 Jessie
Extra Packages for Red Hat Enterprise Linux 5
Zwei Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht
authentisierter Angreifer die Durchführung von Denial-of-Service-Angriffen.
Eine weitere Schwachstelle ermöglicht einem lokalen, nicht authentisierten
Angreifer zudem das Ausspähen von Informationen.
Debian stellt für die stabile Distribution Jessie ein
Backport-Sicherheitsupdate bereit.
Patch:
Debian Security Advisory DSA-3773-1
https://www.debian.org/security/2017/dsa-3773
Patch:
Fedora Security Update FEDORA-EPEL-2017-90b2cbfdaf (Fedora EPEL 5,
openssl101e-1.0.1e-10)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-90b2cbfdaf
CVE-2017-3731: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Wenn ein Server oder Client, welcher SSL/TLS unterstützt, auf einem 32-Bit
Host läuft und spezifische Chiffren verwendet werden, kann ein
abgeschnittenes Paket dazu führen, dass dieser Server oder Client außerhalb
von Speichergrenzen liest (Out-of-bounds Read), wodurch es normalerweise zu
einem Absturz kommt. Für OpenSSL 1.1.0 bevor 1.1.0d kann dieses durch
Verwendung von ‘CHACHA20/POLY1305’ ausgelöst werden, für Openssl 1.0.2 bevor
1.0.2k durch ‘RC4-MD5’, falls dessen Verwendung nicht deaktiviert wurde. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.
CVE-2016-7056: Schwachstelle in OpenSSL und Derivaten ermöglicht Ausspähen
von Informationen
Die Funktion ‘ecdsa_sign_setup’ in ‘crypto/ecdsa/ecs_ossl.c’ in OpenSSL
stellt nicht sicher, dass zeitlich konstante Operationen in der
ECDSA-Implementierung benutzt werden. Dadurch werden Cache-basierte
Seitenkanalangriffe möglich, um private Elliptic Curve Digital Signature
Algorithm-Schlüssel (ECDSA-Schlüssel) auszuspähen. Betroffen sind auch
Derivate von OpenSSL wie z.B. LibreSSL und BoringSSL. Diese Schwachstelle
ist verwandt mit der Schwachstelle CVE-2016-2178. Ein lokaler, nicht
authentisierter Angreifer kann eine Schwachstelle in OpenSSL und Derivaten
davon mit Hilfe einer Seitenkanalattacke ausnutzen, um Schlüsselmaterial
auszuspähen.
CVE-2016-8610: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Durch die fehlerhafte Behandlung von Warnpaketen in OpenSSL kann es zur
exzessiven Verwendung von CPU-Ressourcen kommen. Diese Schwachstelle ist
unter dem Namen ‘SSL-Death-Alert’ bekannt. Ein entfernter, nicht
authentifizierter Angreifer kann durch wiederholtes Versenden speziell
präparierter ‘SSL3_AL_WARNING’-Pakete während des Handshakes den
OpenSSL-Server in eine Schleife zwingen und dadurch einen Denial-of-Service
(DoS)-Zustand auslösen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0162/
Schwachstelle CVE-2016-8610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8610
Schwachstelle CVE-2016-7056 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7056
Schwachstelle CVE-2017-3731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3731
Debian Security Advisory DSA-3773-1:
https://www.debian.org/security/2017/dsa-3773
Fedora Security Update FEDORA-EPEL-2017-90b2cbfdaf (Fedora EPEL 5,
openssl101e-1.0.1e-10):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-90b2cbfdaf
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
