Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSSL Project OpenSSL 1.0.2
OpenSSL Project OpenSSL 1.1.0

Betroffene Plattformen:

Apple Mac OS X
FreeBSD
GNU/Linux
HP-UX
Microsoft Windows
Oracle Solaris

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
OpenSSL ausnutzen, um falsche Informationen in der Textansicht eines
X.509-Zertifikats darzustellen. Da die Herkunft der Informationen in einem
nicht dafür vorgesehenen Speicherbereich liegt, lassen sich dadurch
möglicherweise auch Informationen ausspähen.

Der Hersteller informiert über die Schwachstelle in allen Versionen von
OpenSSL seit 2006 und stellt über das Quellcode-Repository einen Patch
bereit (siehe Referenz ‘Pull-Request #4276’). Aufgrund des geringen
Schweregrades der Schwachstelle verzichtet der Hersteller in diesem Fall auf
ein eigenständiges Release zur Behebung der Schwachstelle.

Patch:

Pull-Request #4276: Avoid out-of-bounds read

https://github.com/openssl/openssl/pull/4276

CVE-2017-3735: Schwachstelle in OpenSSL ermöglicht Darstellen falscher
Informationen

Bei der Verarbeitung einer IPAdressFamily-Extension eines X.509-Zertifikats
kann es zum Zugriff auf ein Byte außerhalb des zugewiesenen Speicherbereichs
kommen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1512/

Pull-Request #4276: Avoid out-of-bounds read:
https://github.com/openssl/openssl/pull/4276

OpenSSL Security Advisory [28 Aug 2017]:
https://www.openssl.org/news/secadv/20170828.txt

Schwachstelle CVE-2017-3735 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3735

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.