Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 11 (22.04.21):
Oracle veröffentlicht Ksplice-Updates korrespondierend zu ELSA-2021-1024,
um die Schwachstellen in ‘openssl’ zu beheben.
Version 10 (15.04.21):
Red Hat stellt für JBoss Enterprise Web Server 5 für RHEL 7 und 8 die
Version 5.4.2, für Red Hat JBoss Web Server 3 die Version 3.1 Service Pack
12 für RHEL 7 und Windows sowie für Red Hat JBoss Core Services 1 für RHEL
7 die Red Hat JBoss Core Services Apache HTTP Server Version 2.4.37 SP7
als Sicherheitsupdates zur Behebung der Schwachstelle bereit.
Version 9 (15.04.21):
Für Red Hat Virtualization 4 für Red Hat Enterprise Linux 8 stehen
Sicherheitsupdates zur Behebung der Schwachstellen bereit.
Version 8 (01.04.21):
Für Oracle Linux 8 werden zusätzliche ‘ksplice’-Pakete bereitgestellt, mit
denen die Schwachstellen behoben werden.
Version 7 (31.03.21):
Für Fedora 32 steht ein Sicherheitsupdate im Status ‘testing’ bereit, mit
dem ‘openssl’ auf Version 1.1.1k aktualisiert wird. Für Red Hat Enterprise
Linux 8 (aarch64, x86_64) stehen ebenfalls Sicherheitsupdates bereit, um
die Schwachstellen zu beheben.
Version 6 (30.03.21):
Für Fedora EPEL 7 steht ein Backport-Sicherheitsupdate zur Behebung der
beiden Schwachstellen in ‘openssl11’ im Status ‘testing’ zur Verfügung.
Version 5 (30.03.21):
Für Fedora 33 steht ein Sicherheitsupdate im Status ‘stable’ bereit, mit
dem ‘openssl’ auf Version 1.1.1k aktualisiert wird. Für Oracle Linux 8
(aarch64, x86_64) stehen ebenfalls Sicherheitsupdates bereit, um die
Schwachstellen zu beheben.
Version 4 (29.03.21):
Das Tor-Projekt stellt den Tor Browser in Version 10.0.15 bereit, bei dem
OpenSSL 1.1.1k verwendet wird.
Version 3 (26.03.21):
Das FreeBSD-Projekt stellt zur Behebung der Schwachstellen
Sicherheitsupdates für die stabilen Versionen 12.2-STABLE und 13.0-STABLE
sowie die korrigierte Version 12.2-RELEASE-p5 zur Verfügung.
Version 2 (25.03.21):
Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS
Sicherheitsupdates für ‘openssl’ bereit, welche die Schwachstelle
CVE-2021-3449 beheben, und gibt an, dass bei erfolgreicher Ausnutzung
möglicherweise auch beliebiger Programmcode ausgeführt werden könnte.
Version 1 (25.03.21):
Neues Advisory
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um
Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff
durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien
erforderlich.
Das OpenSSL-Projekt informiert über die Schwachstellen und veröffentlicht
die Version 1.1.1k als Sicherheitsupdate.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-0629]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
