Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 1 (28.03.18):
Neues Advisory

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen
in OpenSSL ausnutzen, um einen Denial-of-Service (DoS)-Angriff auszuführen,
falsche Informationen darzustellen und Informationen auszuspähen.

OpenSSL stellt die offiziellen Releases 1.1.0h und 1.0.2o zur Behebung der
Schwachstellen zur Verfügung. Der Patch für die Schwachstelle CVE-2017-3738
war bereits in OpenSSL 1.0.2g implementiert und adressiert hier nur den
Versionszweig 1.1.x. Diese Schwachstelle betrifft nur Prozessoren, die über
den erweiterten Befehlssatz AVX2 verfügen und eignet sich nur für Angriffe
gegen das Diffie-Hellmann (DH1024) Verfahren, nicht gegen elliptische
Kurven. Die Schwachstelle CVE-2018-0733 betrifft nur OpenSSL 1.1.x für das
Betriebssystem HP-UX in Kombination mit Hardware mit Precision-Architektur
und reduziertem Instruktionsset (PA-RISC).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0584]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html