Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 44 (20.12.18):
Cisco informiert in einem Update seines Sicherheitshinweises zu den
OpenSSL-Schwachstellen darüber, dass im Gegensatz zu früheren Meldungen
Cisco ESA 10.x niemals die Sicherheitsupdates erhalten hat. Cisco ESA 11.0
gilt weiterhin als fehlerbereinigte Version.
Version 43 (18.09.17):
Cisco finalisiert seinen Sicherheitshinweis bezüglich der Informationen zu
Sicherheitsupdates (Fixed Release Information). Es stehen allerdings nicht
für alle betroffenen Produkte Sicherheitsupdates zur Verfügung.
Version 42 (23.05.17):
Juniper aktualisiert seine Sicherheitsmeldung JSA10759 erneut und
informiert darüber, dass die Junos OS Versionen 12.1X46-D66, 12.3X48-D50,
14.1R9, 14.2R8, 15.1R7, 15.1X49-D80, 16.1R5, 16.2R2 und 17.1R3 nun die
Cipherstring-Gruppe ‘Medium’ ausschließen. Damit wird die Schwachstelle
CVE-2016-2183 adressiert.
Version 41 (10.05.17):
Juniper aktualisiert seine Sicherheitsmeldung JSA10759 erneut und
informiert darüber, dass Junos Space auf Version openssl-1.0.1e-57.el6 in
17.1R1 aktualisiert wurde (erwartet zum Ende Q2/2017), um die in den
OpenSSL Advisories vom Juni und September 2016 behandelten Schwachstellen
zu adressieren.
Version 40 (09.05.17):
Juniper aktualisiert seine Sicherheitsmeldung JSA10759 erneut, um
klarzustellen, dass die Aktualisierung für Junos OS die in CVE-2016-2183
beschriebene Mitigation der OpenSSL Chiffrengruppe (DES und Triple DES
wurden von der Gruppe ‘HIGH’ nach ‘MEDIUM’ verschoben) beinhaltet, aber
nicht alle Versionen von Junos OS derzeit die Chiffrengruppe ‘MEDIUM’
ausschließen. Juniper kündigt für alle unterstützten Versionen
diesbezüglich ein Update an.
Version 39 (26.04.17):
Cisco aktualisiert seinen Sicherheitshinweis erneut und weist darauf hin,
dass auch Cisco Nexus 1000V InterCloud und Cisco Unified Contact Center
Enterprise von den Schwachstellen betroffen sind. Die Untersuchungen zu
betroffenen Produkten scheinen damit abgeschlossen zu sein, es stehen aber
noch nicht für alle betroffenen Produkte Sicherheitsupdates zur Verfügung.
Version 38 (24.04.17):
Cisco hat seine Sicherheitsmeldung aktualisiert und hat seine Information
bezüglich des Sicherheitsupdates (‘Fixed Release’) für Cisco Email
Security Appliance (ESA) überarbeitet. Das Release 11.0 wird für den
01.05.2017 angekündigt.
Version 37 (05.04.17):
FortiGuard hat eine Änderung an seinem Advisory-Portal vorgenommen,
wodurch die Informationen zu den Fortinet-Produkten über die zuvor
veröffentlichte Referenz nicht mehr aufgerufen werden können. Die
aktualisierte Referenz (anbei) enthält eine URL, über welche die
Informationen nun wieder verfügbar sind. Eine inhaltliche Änderung gab es
nicht.
Version 36 (03.04.17):
FortiGuard veröffentlicht einen Sicherheitshinweis, um über die
Betroffenheit der FortiOS Versionen 5.4.1, 5.4.0 und 5.2.9, der
FortiAnalyzer Versionen 5.4.1, 5.4.0 und 5.2.9 sowie der FortSwitch
Version 3.5.0 von den OpenSSL-Schwachstellen zu informieren. Die Fortinet-
Produkte sind über unterschiedliche Teilmengen der Schwachstellen
angreifbar. Als Sicherheitsupdates stehen die FortiOS und FortiAnalyzer
Versionen 5.2.10, 5.4.2 und 5.6.0 sowie die FortiSwitch Firmware Version
3.5.1 zur Verfügung.
Version 35 (03.02.17):
IBM informiert darüber, dass IBM Security Access Manager Appliances von
den OpenSSL-Schwachstellen betroffen ist und stellt Sicherheitsupdates
bereit. Für IBM Security Access Manager for Web (appliance) im
Versionszweig 7.0 wird die Installation des Interim Fixes 28 empfohlen.
Für IBM Security Access Manager for Web und IBM Security Access Manager
for Mobile im Versionszweig 8.0 wird das Update auf Version 8.0.1.5
empfohlen. Für IBM Security Access Manager im Versionszweig 9.0 wird das
Update auf Version 9.0.2.1 empfohlen.
Version 34 (01.12.16):
Juniper aktualisiert seinen Sicherheitshinweis zu OpenSSL und weist darauf
hin, dass neue Versionen von Junos OS zur Behebung der Schwachstellen aus
dem September 2016 Advisory von OpenSSL zur Verfügung gestellt werden. Die
Schwachstellen werden jetzt auch durch die Versionen 12.1X46-D65,
15.1X49-D70 und 16.1R4 sowie alle auf diese folgenden Versionen des
Betriebssystems behoben.
Version 33 (22.11.16):
IBM bestätigt, dass die meisten der Schwachstellen in OpenSSL auch IBM AIX
5.3, 6.1, 7.1, 7.2 und IBM VIOS 2.2.x betreffen und stellt
Sicherheitsupdates zur Verfügung. Die Schwachstelle CVE-2016-7052 wird
zusätzlich adressiert.
Version 32 (22.11.16):
IBM informiert darüber, dass die Schwachstellen in OpenSSL auch IBM
Security Network Protection 5.3.1, 5.3.2 und 5.3.3 betreffen, und stellt
die IBM Security Network Protection Firmware Versionen 5.3.1.11, 5.3.2.5
und 5.3.3.1 als Sicherheitsupdates bereit sowie Informationen zur
Installation.
Version 31 (15.11.16):
Juniper aktualisiert das Juniper Security Bulletin JSA10759, um über die
Verfügbarkeit von Sicherheitsupdates für die Juniper Network and Security
Manager (NSM) Appliance Software zu informieren. Die OpenSSL Software, die
in der NSM Server Software verwendet wird, wurde in der NSM Version
2012.2R13 auf die Version 1.0.2h aktualisiert, um die bis Mai 2016
gemeldeten Schwachstellen in OpenSSL zu adressieren. Für die auf CentOS 6
basierende NSM Appliance Software ist das gZip v4 Release des
Betriebssystem-Images zu verwenden, um das korrigierte OpenSSL RPM zu
erhalten. Nutzer von CentOS 5 erhalten kein gesondertes Update. Kunden,
welche die NSM Server Software auf einem Linux oder Solaris Server
einsetzen, werden angehalten die Sicherheitsupdates des
Betriebssystemherstellers zu installieren.
Version 30 (07.11.16):
F5 Networks veröffentlicht den Sicherheitshinweis sol01276005, um darüber
zu informieren, dass unter anderem das BIG-IP Protocol Security Module
(PSM) in den Versionen 11.4.0 – 11.4.1 und die Version 10.2.4 durch die
Denial-of-Service-Schwachstelle CVE-2016-2182 verwundbar ist.
Sicherheitsupdates stehen derzeit nicht zur Verfügung.
Version 29 (01.11.16):
F5 Networks informiert mit Sicherheitshinweis sol23512141 darüber, welche
Produkte und Programmversionen von der Schwachstelle CVE-2016-2179 in
OpenSSL betroffen sind. Unter anderem ist das BIG-IP Protocol Security
Module (PSM) in den Versionen 10.2.1 – 10.2.4 und die Version 11.2.1 durch
einen Denial-of-Service-Angriff über das User Datagram Protocol (UDP)
verwundbar, allerdings nur wenn auf virtuellen Servern SSL-Profile
verwendet werden. Die Programmversionen 11.4.0 – 11.4.1 sind nicht
verwundbar.
Version 28 (31.10.16):
F5 Networks informiert mit Sicherheitshinweis sol59298921 darüber, welche
Produkte und Programmversionen von der Schwachstelle CVE-2016-2181 in
OpenSSL betroffen sind. Unter anderem ist das BIG-IP Protocol Security
Module (PSM) in den Versionen 10.2.1 – 10.2.4 durch einen Denial-of-
Service-Angriff über das User Datagram Protocol (UDP) verwundbar,
allerdings nur wenn auf virtuellen Servern SSL-Profile mit COMPAT-Chiffren
eingesetzt werden. Die Programmversionen 11.4.0 – 11.4.1 sind nicht
verwundbar.
Version 27 (31.10.16):
Cisco weist in einer Aktualisierung des referenzierten
Sicherheitshinweises darauf hin, dass die Cisco Identity Services Engine
(ISE) und Cisco Netzwerkswitches der Produktserie Cisco Nexus 3000
ebenfalls von den Schwachstellen in OpenSSL betroffen sind. Es stehen noch
keine Sicherheitsupdates zur Verfügung.
Version 26 (28.10.16):
Juniper aktualisiert seine Sicherheitsmeldung JSA10759 und ergänzt die
Sektion ‘Fixed Junos OS Releases’. Die zuvor genannten Versionen von Junos
OS für das OpenSSL September 2016 Advisory 14.1X53-D40 und 16.1R4 werden
darin nun nicht mehr aufgeführt, dafür sind die Versionen 14.1X55-D35,
15.1F5-S5, 15.1R4-S5, 16.1R3 aufgenommen worden. Der Status dieser Updates
ist nach wie vor ‘Pending’. Nähere Informationen entnehmen Sie bitte der
angehängten Referenz (Juniper Security Bulletin JSA10759).
Version 25 (27.10.16):
Cisco aktualisiert den referenzierten Sicherheitshinweis erneut und
informiert über betroffene Produkte und darüber, welche Produkte noch
untersucht werden. Unter anderem sind die Cisco Mobility Services Engine
(MSE) und das Betriebssystem Cisco IOS XR verwundbar. Für Cisco IOS XR und
den Großteil der aktuell 230 betroffenen Produkte und Produktserien stehen
Informationen zum geplanten Release der Sicherheitsupdates oder die
Sicherheitsupdates selbst bereit. Die Untersuchung von 16 weiteren
Produkten, darunter auch die Netzwerkswitches der Produktserie Cisco Nexus
3000, ist noch nicht abgeschlossen.
Version 24 (25.10.16):
F5 Networks informiert in einem gesonderten Sicherheitshinweis darüber,
welche Produkte und Programmversionen von der Schwachstelle CVE-2016-6306
betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module
(PSM) in den Versionen 10.2.1 – 10.2.4 und 11.4.0 – 11.4.1 auch durch
diese Schwachstelle in OpenSSL verwundbar. Es stehen noch keine
Sicherheitsupdates zur Verfügung.
Version 23 (20.10.16):
Cisco aktualisiert seinen Sicherheitshinweis erneut und informiert über
betroffene Produkte und darüber, welche Produkte noch untersucht werden.
Unter anderem sind Cisco ASR 5000 Series Router / Switches betroffen. Für
diese werden Sicherheitsupdates für Ende April 2017 avisiert.
Version 22 (19.10.16):
Juniper aktualisiert seine Sicherheitsmeldung JSA10759 und ergänzt in der
ScreenOS Problemsektion weitere CVEs, die als behoben gelten bzw. ScreenOS
nicht betreffen. Nähere Informationen entnehmen Sie bitte der angehängten
Referenz (Juniper Security Bulletin JSA10759).
Version 21 (17.10.16):
Für Oracle Linux 5 (i386, ia64, x86_64) stehen Backport-Sicherheitsupdates
bereit, welche die Schwachstellen CVE-2016-2177, CVE-2016-2178,
CVE-2016-2182, CVE-2016-2183 und CVE-2016-6306 adressieren.
Version 20 (17.10.16):
Für die SUSE Linux Enterprise Produkte Server for SAP 11 SP3 und 11 SP4
sowie Debuginfo 11 SP4 steht ein Backport-Sicherheitsupdate für ‘compat-
openssl097g’ bereit, mit dem die Schwachstellen CVE-2016-2177,
CVE-2016-2182, CVE-2016-2183, CVE-2016-6303 und CVE-2016-6306 behoben
werden. Für Oracle VM Server 3.2 steht ein Backport-Sicherheitsupdate
bereit, das die Schwachstellen CVE-2016-2177, CVE-2016-2178,
CVE-2016-2182, CVE-2016-2183 und CVE-2016-6306 adressiert. Cisco
aktualisiert seinen Sicherheitshinweis erneut und informiert über
betroffene Produkte und darüber, welche Produkte noch untersucht werden.
Unter anderem ist der Cisco Application Policy Infrastructure Controller
(APIC) betroffen. Für diesen steht noch kein Sicherheitsupdate zur
Verfügung.
Version 19 (14.10.16):
Für openSUSE Leap 42.1 stehen Sicherheitsupdates für ‘opencompat-
openssl098’ bereit, durch die 10 Schwachstellen behoben werden.
Version 18 (13.10.16):
Juniper veröffentlicht eine Sicherheitsmeldung für verschiedene Produkte
und informiert darin über Sicherheitsupdates bezüglich aller OpenSSL-
Schwachstellen seit der Veröffentlichung des OpenSSL Security Advisory vom
03. Dezember 2015. Unter anderem werden darin verschiedene
Sicherheitsupdates für Junos OS, ScreenOS und Junos Space bereitgestellt,
welche unterschiedliche Untermengen an Schwachstellen entsprechend den
OpenSSL Advisories behandeln. Nähere Informationen entnehmen Sie bitte der
angehängten Referenz (Juniper Security Bulletin JSA10759). Die
Sicherheitsupdates für die Junos OS Versionen 13.3R10, 14.1R9,
14.1X53-D40, 14.2R8, 15.1R5 und 16.1R4 zur Behebung der Schwachstellen des
OpenSSL Security Advisory für März, Mai und September 2016 stehen derzeit
noch im Status ‘pending’. Außerdem verweist Juniper darauf, dass ScreenOS
6.3.0r23 und Junos Space 16.1R1 (Status ‘pending’) nur die Schwachstellen
bis einschließlich OpenSSL Security Advisory Mai 2016 beheben und
Sicherheitsupdates für die neueren Schwachstellen über die PR-Nummern ‘PR
1217005’ (ScreenOS) und ‘PR 1216998’ (Junos OS) nachverfolgt werden
können. Cisco aktualisiert den referenzierten Sicherheitshinweis und
informiert über weitere betroffene Produkte und verfügbare Updates.
Version 17 (11.10.16):
Cisco weist in einer erneuten Aktualisierung des referenzierten
Sicherheitshinweises darauf hin, dass weitere Nexus-Netzwerkswitches sowie
die Web Security Appliance (WSA) und die Email Security Appliance (ESA)
von den Schwachstellen betroffen sind. Darüber hinaus sind Produkte aus
der Cisco Prime Collaboration Produktserie und die Cisco UCS Central
Software betroffen. Für viele der betroffenen Produkte sind mittlerweile
Sicherheitsupdates angekündigt oder verfügbar.
Version 16 (07.10.16):
Für die SUSE Linux Enterprise Produkte Server 11 SECURITY, Server for SAP
12 SP1, Module for Legacy Software 12 und Desktop 12 SP1 und stehen
Sicherheitsupdates für OpenSSL bereit, durch die 10 Schwachstellen behoben
werden.
Version 15 (06.10.16):
Cisco aktualisiert den referenzierten Sicherheitshinweis erneut
hinsichtlich der Liste der untersuchten und verwundbaren Produkte.
Version 14 (05.10.16):
Für SUSE Studio Onsite 1.3, SUSE OpenStack Cloud 5, SUSE Manager Proxy 2.1
und SUSE Manager 2.1 sowie die SUSE Linux Enterprise Produkte Software
Development Kit 11 SP4; Server 11 SP4, 11 SP3 LTSS und 11 SP2 LTSS;
Debuginfo 11 SP4, 11 SP3 und 11 SP2 stehen Sicherheitsupdates für OpenSSL
bereit, durch die 10 Schwachstellen behoben werden.
Version 13 (05.10.16):
F5 Networks informiert in einem gesonderten Sicherheitshinweis darüber,
welche Produkte und Programmversionen von der Schwachstelle CVE-2016-2183
(Sweet32) betroffen sind. Unter anderem ist das BIG-IP Protocol Security
Module (PSM) in den Versionen 10.2.1 – 10.2.4 und 11.4.0 – 11.4.1 auch
durch diese Schwachstelle in OpenSSL verwundbar. Es stehen noch keine
Sicherheitsupdates zur Verfügung.
Version 12 (04.10.16):
Cisco aktualisiert den referenzierten Sicherheitshinweis erneut und listet
jetzt u.a. auch verschiedene AnyConnect Produkte sowie IOS und Cisco IOS
XE als verwundbar auf.
Version 11 (30.09.16):
Cisco aktualisiert den referenzierten Sicherheitshinweis erneut, um über
verwundbare Produkte und die Verfügbarkeit erster Sicherheitsupdates zu
informieren. Interne Untersuchungen haben ergeben, dass unter anderem die
Produkte Cisco ACE 4710 Application Control Engine mit Software Release
A5, Cisco ACE30 Application Control Engine Module, Cisco Aironet 2700
Series Access Points, Cisco Intrusion Prevention System (IPS) Solutions,
Cisco Nexus 4000 Series Blade Switches, Cisco Nexus 5000 Series Switches,
Cisco Nexus 9000 Series Fabric Switches – ACI mode, Cisco Prime Data
Center Network Manager, Cisco Prime Infrastructure, Cisco TelePresence
Conductor, Cisco TelePresence Serial Gateway Series, Cisco UCS 6200 Series
and 6300 Series Fabric Interconnects, Cisco UCS Central Software und Cisco
WebEx Meetings for Windows Phone 8 verwundbar sind. Für Cisco UCS 6200
Series and 6300 Series Fabric Interconnects und Cisco WebEx Meetings for
Windows Phone 8 sind bereits Sicherheitsupdates geplant. Weitere
Sicherheitsupdates sind für Cisco ASA Next-Generation Firewall Services,
Cisco Nexus 1000V Series Switches, Cisco Security Manager Cisco WebEx
Meetings Client (Hosted und On-Premises) und die Cisco FireSIGHT System
Software angekündigt und für spezielle Softwareversionen bereits
verfügbar. Für Cisco NAC Appliances wird kein Fix erwartet, weitere 125
Produkte oder Produktserien werden noch untersucht.
Version 10 (29.09.16):
Cisco aktualisiert den referenzierten Sicherheitshinweis und weist darauf
hin, dass zusätzlich unter anderem die Produkte Cisco Application and
Content Networking System (ACNS), Cisco ASA Next-Generation Firewall
Services, Cisco Jabber Guest, Cisco NAC Appliance, Cisco NAC Guest Server,
Cisco Nexus 1000V Series Switches, Cisco ONS 15454 Series Multiservice
Provisioning Platforms, Cisco Security Manager, Cisco UCS Director , Cisco
WebEx Meetings Client – Hosted, Cisco WebEx Meetings for Android und Cisco
Wireless LAN Controller verwundbar sind. Momentan werden 154 weitere
Produkte untersucht, Cisco Prime Home und der Cisco Prime Network
Registrar IP Address Manager (IPAM) sind nicht verwundbar. Mit
Fortschreiten der Untersuchungen stellt Cisco im referenzierten
Sicherheitshinweis Cisco Bug IDs für die einzelnen Produkte zur Verfügung,
mit denen über das Cisco Bug Search Tool weitere Informationen zu
aktualisierter Software und Workarounds zur Verfügung gestellt werden.
Version 9 (28.09.16):
Für die SUSE Linux Enterprise 12 SP1 Produkte Software Development Kit,
Server und Desktop stehen Sicherheitsupdates bereit. Für openSUSE Leap
42.1 steht ebenfalls ein Sicherheitsupdate bereit, allerdings werden die
Schwachstellen CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 nicht
erwähnt.

Für Fedora EPEL 5 steht ebenfalls ein Sicherheitsupdate in Form es Paketes
‘openssl101e-1.0.1e-9.el5’ im Status ‘testing’ bereit. Nach dem Update ist
ein Neustart des Systems erforderlich. Die Schwachstellen CVE-2016-6303,
CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 werden nicht adressiert.

Cisco veröffentlicht eine Sicherheitsmeldung und bestätigt nach einer
ersten Analyse die Verwundbarkeit der Produkte Cisco Expressway Series,
Cisco FireSIGHT System Software, Cisco Prime Collaboration Deployment,
Cisco Prime Network Registrar, Cisco Secure Access Control System (ACS),
Cisco Unified Communications Manager, Cisco Unified Communications Manager
IM & Presence Service, Cisco WebEx Meetings Center, Cisco WebEx Meetings
Server 1.x und 2.x, Cisco Connected Grid Router und Connected Grid Router
running CG-OS, Cisco TelePresence MX Series, Cisco TelePresence SX Series,
Cisco TelePresence System EX Series, Cisco TelePresence Video
Communication Server (VCS) sowie weiterer Produkte. Cisco gibt an, dass
eine Untersuchung zu weiteren Produkten derzeit noch andauert und die
Sicherheitsmeldung laufend zu den Erkenntnissen aktualisiert wird. Cisco
gibt außerdem an, dass kein Produkt von den Schwachstellen CVE-2016-6305,
CVE-2016-6307, CVE-2016-6308, CVE-2016-6309 und CVE-2016-7052 betroffen
ist.

Oracle veröffentlicht Sicherheitsupdates für Oracle VM Server 3.3 und 3.4
sowie Oracle Linux 6 und 7, mit denen die Schwachstellen des
Versionszweigs 1.0.1 mit Ausnahme von CVE-2016-6303 behoben werden und
CVE-2016-2183 mitigiert wird. Zusätzlich werden für Oracle VM Server 3.3
und 3.4 Schwachstellen aus den OpenSSL Sicherheitshinweisen von März und
Mai geschlossen (CVE-2016-2105, CVE-2016-2106, CVE-2016-2107,
CVE-2016-2108, CVE-2016-2109, CVE-2016-0799).
Version 8 (27.09.16):
Für die Red Hat Enterprise Linux Produkte Desktop 6 und 7, HPC Node 6, 7
und 7.2 EUS, Server 6, 7 , 7.2 AUS und 7.2 EUS sowie Workstation 6 und 7
stehen Sicherheitsupdates für OpenSSL bereit. Die Schwachstellen
CVE-2016-6303, CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 werden von
diesen Updates nicht adressiert.
Version 7 (27.09.16):
Für openSUSE 13.2 steht ein Sicherheitsupdate für OpenSSL bereit, welches
die Schwachstellen CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308
ebenfalls nicht adressiert. Der Patch für die Schwachstelle CVE-2016-6307
hat im Versionszweig 1.1.0 eine neue Schwachstelle (CVE-2016-6309,
Ausführung beliebigen Programmcodes) eingeführt, die mittlerweile zusammen
mit der Schwachstelle CVE-2016-7052 (Denial-of-Service) aus dem
Versionszweig 1.0.2 in einem gesonderten Sicherheitshinweis vom Hersteller
veröffentlicht wurde, siehe dazu das OpenSSL Security Advisory vom 26.
September 2016. Benutzer von OpenSSL sollten prüfen, ob die von ihnen
eingesetzte Version von OpenSSL von diesem nachgelieferten
Sicherheitshinweis betroffen ist. Der Hersteller hat bereits neue
Sicherheitsupdates zur Verfügung gestellt.
Version 6 (27.09.16):
Für Fedora 23, 24 und 25 stehen Sicherheitsupdates für OpenSSL auf Version
1.0.2j im Status ‘testing’ bereit, mit denen die Schwachstellen vor
Version 1.0.2i und zusätzlich die durch einen Fehler im Update auf 1.0.2i
eingeführte Schwachstelle CVE-2016-7052 (Denial-of-Service, DoS) behoben
werden (siehe dazu auch das OpenSSL Security Advisory vom 26.09.2016). Die
kurzzeitig verfügbare Version OpenSSL 1.0.2i ist für Fedora-Produkte nicht
mehr erhältlich. Für SUSE Linux Enterprise Server for SAP 12 und SUSE
Linux Enterprise Server 12 LTSS stehen ebenfalls Sicherheitsupdates
bereit. Die Schwachstellen CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308
werden von diesen Updates nicht adressiert.
Version 5 (26.09.16):
Für FreeBSD stehen überarbeitete Patches bereit, die eine zuvor
eingeführte Regression (CVE-2016-2182) beheben.
Version 4 (26.09.16):
Canonical stellt für Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 16.04
LTS aktualisierte Sicherheitsupdates bereit, welche eine mit dem zuvor
veröffentlichten Sicherheitsupdate eingeführte Regression beheben
(CVE-2016-2182).
Version 3 (23.09.16):
F5 Networks stellt ein ‘September 2016 OpenSSL Security Vulnerability
Announcement’ bereit, in dem die Sicherheitshinweise zu den einzelnen
Schwachstellen in OpenSSL aufgelistet werden, sobald sie verfügbar sind.
Bislang sind die bereits veröffentlichten Sicherheitshinweise zu
CVE-2016-2177 und CVE-2016-2178 referenziert. Eine zusätzliche
Schwachstelle in OpenVPN (CVE-2016-6329) wird erwähnt, betrifft aber nach
derzeitigem Erkenntnisstand keine Produkte von F5. Das Announcement wird
von F5 Networks laufend aktualisiert, sobald neue Informationen zu den
Schwachstellen zur Verfügung stehen. Die Links zu den Sicherheitshinweisen
sind momentan fehlerhaft, die URLs lassen sich aber manuell anhand des
Bezeichners ‘solXXYYYYYY’ richtig stellen. Die Sicherheitshinweise sind
mit diesem Bezeichner auch über die AskF5 Knowledge Base auffindbar.
Version 2 (23.09.16):
Canonical stellt für Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04
LTS aktualisierte ‘libssl’-Pakete und Debian für die Distribution Debian
Jessie (stable) aktualisierte ‘openssl’-Pakete als Sicherheitsupdates
bereit. Das FreeBSD Project stellt für die Versionen 11.0-STABLE,
11.0-RELEASE, 10.3-STABLE, 10.3-RELEASE-p8, 10.2-RELEASE-p21,
10.1-RELEASE-p38, 9.3-STABLE und 9.3-RELEASE-p46 ebenfalls
Sicherheitsupdates zur Verfügung. Die Schwachstellen CVE-2016-6305,
CVE-2016-6307 und CVE-2016-6308 werden von diesen Updates nicht
adressiert.
Version 1 (22.09.16):
Neues Advisory

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht
authentifizierten Angreifer in den meisten Fällen die Durchführung von
Denial-of-Service (DoS)-Angriffen, aber auch das Umgehen von
Sicherheitsvorkehrungen und in der Folge das Ausspähen von Informationen
sowie möglicherweise weitere, nicht näher spezifizierte Angriffe.

Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.1.0a,
1.0.2i und 1.0.1u zur Verfügung gestellt, um diese Schwachstellen zu
beheben.

Die Mitigation für SWEET32 (CVE-2016-2183) wurde bereits mit OpenSSL 1.1.0
Release eingeführt, indem die angreifbaren Ciphersuiten per Voreinstellung
deaktiviert wurden.

Der Hersteller weist darauf hin, dass die Unterstützung von OpenSSL 1.0.1 am
31.12.2016 endet. Benutzer von OpenSSL 1.0.1 werden gebeten, auf die
Versionszweige 1.0.2 oder 1.1.0 zu wechseln.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2016-1555]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html