Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 8 (19.10.18):
Für SUSE Linux Enterprise Server 12 SP2 BCL steht ein Sicherheitsupdate
für das Paket ‘openssl’ bereit, durch welches die Schwachstelle und fünf
weitere Fehler behoben werden.
Version 7 (01.10.18):
openSUSE veröffentlicht für die Distribution openSUSE Leap 42.3 ein
Sicherheitsupdate für OpenSSL mit dem zusätzlich zur der Schwachstelle
fünf nicht sicherheitsrelevante Fehler adressiert werden.
Version 6 (28.09.18):
Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3,
Server for SAP 12 SP2, Server 12 SP2 LTSS und 12 SP3, Desktop 12 SP3 sowie
SUSE Enterprise Storage 4, SUSE CaaS Platform ALL und 3.0, SUSE OpenStack
Cloud 7 und OpenStack Cloud Magnum Orchestration 7 stehen
Sicherheitsupdates zur Behebung der Schwachstelle in ‘openssl’ bereit.
Version 5 (27.08.18):
Für SUSE Linux Enterprise Server 12 SP1 LTSS und SUSE Linux Enterprise
Server for SAP 12 SP1 stehen Sicherheitsupdates zur Behebung der
Schwachstelle in ‘openssl’ bereit.
Version 4 (24.08.18):
Für SUSE Linux Enterprise Software Development Kit, Server und Debuginfo
11 SP4 sowie SUSE Studio Onsite 1.3 stehen Backport-Sicherheitsupdates für
OpenSSL bereit, um die Schwachstelle zu beheben.
Version 3 (04.07.18):
IBM informiert darüber, dass die Schwachstelle in OpenSSL auch AIX 5.3,
6.1, 7.1, 7.2 und VIOS 2.2.x betrifft und stellt einen Fix als
Sicherheitsupdate zum Download sowie Informationen zum Entpacken und zur
Installation desselben bereit.
Version 2 (20.04.18):
Canonical stellt für Ubuntu 17.10, 16.04 LTS, 14.04 LTS und 12.04 ESM
Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 1 (17.04.18):
Neues Advisory
Ein lokaler, nicht authentisierter Angreifer mit Lesezugriff auf den
Arbeitsspeicher eines Nutzers kann unter Umständen einen privaten RSA-
Schlüssels während dessen Generierung ausspähen. Zum aktuellen Zeitpunkt ist
noch unklar, ob ein Angreifer den Angriff auch von einem virtuellen
Gastsystem aus durchführen kann. Besitzt der Angreifer den privaten
Schlüssel eines Nutzers, kann er damit jede Information ausspähen, die ein
Nutzer mit dem Schlüssel verschlüsselt hat. Darüber hinaus kann der
Angreifer beispielsweise Emails mit diesem Schlüssel signieren (Identitäts-
Spoofing) und dadurch einem anderen Nutzer falsche Informationen darstellen.
Derzeit existiert kein offizielles Release zur Behebung der Schwachstelle.
Allerdings hat der Hersteller angekündigt, die Schwachstelle in den
Versionen 1.1.0i und 1.0.2p zu beheben. Anwender, die vorab einen Patch
installieren möchten, finden Informationen dazu im OpenSSL Security Advisory
[16 Apr 2018] (siehe Referenzen).
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-0720]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
