UPDATE: DFN-CERT-2017-1511 mbed TLS: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][Windows]

UPDATE: DFN-CERT-2017-1511 mbed TLS: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.09.2017):
Debian stellt das Paket ‘mbedtls’ für die stabile Distribution Stretch in
der Version ‘2.4.2-1+deb9u1’ und für die testing Distribution Buster in
der Version ‘2.6.0-1’ als Sicherheitsupdate bereit.
Version 2 (30.08.2017):
Für Fedora 25 und 26 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates
auf mbed TLS 2.6.0 zur Verfügung. Das Sicherheitsupdate für Fedora EPEL 6
befindet sich im Status ‘testing’, die restlichen Sicherheitsupdates
besitzen derzeit noch den Status ‘pending’. Ferner informiert der mbed TLS
Hersteller in den mbed TLS 2.6.0, 2.1.9 und 1.3.21 Release Notes über
weitere Fehlerbehebungen.
Version 1 (29.08.2017):
Neues Advisory

Betroffene Software:

mbed TLS >= 1.3.10
mbed TLS < 1.3.21 mbed TLS < 2.1.9 mbed TLS < 2.6.0 Betroffene Plattformen: Debian Linux 9.1 Stretch Debian Linux 10.0 Buster GNU/Linux Microsoft Windows Red Hat Fedora 25 Red Hat Fedora 26 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Ein entfernter, nicht authentisierter Angreifer kann die Zertifikatsauthentifizierung in mbed TLS außer Kraft setzen und dadurch Kommunikationsteilnehmer imitieren oder Man-in-the-Middle (MitM)-Angriffe durchführen. Der Hersteller informiert über die Schwachstelle in mbed TLS ab Version 1.3.10 und allen Versionen des Versionszweigs 2.1, wenn die Zertifikatsauthentifizierungsmethode 'optional' verwendet wird. Die Versionen mbed TLS 1.3.21 und 2.1.9 stehen als Sicherheitsupdates zur Verfügung, mbed TLS 2.6.0 ist ebenfalls nicht von der Schwachstelle betroffen. Workaround: Die Schwachstelle in mbed TLS kann vermieden werden, indem der Zertifikatsauthentifizierungsmodus über 'MBEDTLS_SSL_VERIFY_REQUIRED' auf 'required' gesetzt wird, falls dies für die Anwendung möglich ist. Patch: Fedora Security Update FEDORA-2017-382c240580 (Fedora 26, mbedtls-2.6.0-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-382c240580

Patch:

Fedora Security Update FEDORA-2017-3abea58794 (Fedora 25,
mbedtls-2.6.0-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-3abea58794

Patch:

Fedora Security Update FEDORA-EPEL-2017-40114bdc74 (Fedora EPEL 7,
mbedtls-2.6.0-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-40114bdc74

Patch:

Fedora Security Update FEDORA-EPEL-2017-dc232b17d0 (Fedora EPEL 6,
mbedtls-2.6.0-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-dc232b17d0

Patch:

mbed TLS 2.6.0, 2.1.9 und 1.3.21 Release Notes

https://tls.mbed.org/tech-updates/releases/mbedtls-2.6.0-2.1.9-and-1.3.21-released

Patch:

mbed TLS Security Advisory 2017-02

https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2017-02

Patch:

Debian Security Advisory DSA-3967-1

https://www.debian.org/security/2017/dsa-3967

CVE-2017-14032: Schwachstelle in mbed TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen

Stellt ein Client oder Server eine X.509-Zertifikatskette zur Verfügung, die
mehr als ‘MBEDTLS_X509_MAX_INTERMEDIATE_CA’ Zwischenglieder hat (per
Default: 8) und ist der Authentifizierungsmodus beispielsweise über
‘MBEDTLS_SSL_VERIFY_OPTIONAL’ auf ‘optional’ gesetzt, kann die
Zertifikatsauthentifizierung komplett umgangen werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1511/

Fedora Security Update FEDORA-2017-382c240580 (Fedora 26,
mbedtls-2.6.0-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-382c240580

Fedora Security Update FEDORA-2017-3abea58794 (Fedora 25,
mbedtls-2.6.0-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-3abea58794

Fedora Security Update FEDORA-EPEL-2017-40114bdc74 (Fedora EPEL 7,
mbedtls-2.6.0-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-40114bdc74

Fedora Security Update FEDORA-EPEL-2017-dc232b17d0 (Fedora EPEL 6,
mbedtls-2.6.0-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-dc232b17d0

mbed TLS 2.6.0, 2.1.9 und 1.3.21 Release Notes:
https://tls.mbed.org/tech-updates/releases/mbedtls-2.6.0-2.1.9-and-1.3.21-released

mbed TLS Security Advisory 2017-02:
https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2017-02

Schwachstelle CVE-2017-14032 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-14032

Debian Security Advisory DSA-3967-1:
https://www.debian.org/security/2017/dsa-3967

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben