Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 23 (14.01.22):
Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für ‘openssl’ in
Version 1.0.2k-23 bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 22 (13.01.22):
Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für
‘openssl’ in Version 1.0.2k-23 bereit, um die Schwachstelle CVE-2021-3712
zu beheben.
Version 21 (13.01.22):
Red Hat stellt für die Produkte Red Hat Enterprise Linux for Scientific
Computing, Desktop, Workstation und Server jeweils in Version 7
Sicherheitsupdates für ‘openssl’ zur Verfügung und behebt damit die
Schwachstelle CVE-2021-3712.
Version 20 (12.01.22):
Für Oracle Linux 7 (x86_64, aarch64) stehen Sicherheitsupdates für
‘openssl’ bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 19 (06.01.22):
Oracle veröffentlicht korrespondierend zu ELSA-2021-5226 Ksplice-Updates
für ‘openssl’, mit denen CVE-2021-3712 adressiert wird.
Version 18 (27.12.21):
Oracle veröffentlicht nun auch Ksplice-Updates für Oracle Linux 8 (x86_64,
aarch64), mit denen CVE-2021-3712 adressiert wird.
Version 17 (22.12.21):
Für Red Hat Enterprise Linux 8 (x86_64, aarch64) und Oracle Linux 8
(x86_64, aarch64) stehen Sicherheitsupdates für ‘openssl’ bereit, um die
Schwachstelle CVE-2021-3712 zu beheben.
Version 16 (18.11.21):
Für Fedora EPEL 7 steht ein Backport-Sicherheitsupdate in Form des Pakets
‘openssl11-1.1.1k-2.el7’ im Status ‘testing’ bereit, um die Schwachstelle
CVE-2021-3712 zu beheben.
Version 15 (01.10.21):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘openssl1.0l’
in Version 1.0.2u-1~deb9u6 bereit, um die Schwachstelle CVE-2021-3712 zu
beheben.
Version 14 (27.09.21):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘openssl’ in
Version 1.1.0l-1~deb9u4 bereit, um die Schwachstelle CVE-2021-3712 zu
beheben.
Version 13 (22.09.21):
Für SUSE MicroOS 5.1 steht ein Sicherheitsupdate für ‘openssl-1_1’ bereit,
um die Schwachstelle CVE-2021-3712 zu beheben.
Version 12 (20.09.21):
Für SUSE OpenStack Cloud 8 und Cloud Crowbar 8, SUSE Linux Enterprise
Server 12 SP2 BCL sowie SUSE Linux Enterprise Server 12 SP3 SAP / LTSS
/BCL stehen Sicherheitsupdates für ‘openssl’ bereit, um die Schwachstelle
CVE-2021-3712 zu beheben.
Version 11 (20.09.21):
Für SUSE Linux Enterprise Server 11 SECURITY und SUSE Linux Enterprise
Debuginfo 11 SP3 stehen Sicherheitsupdates für ‘openssl1’ und für SUSE
Linux Enterprise Server 11 SP4 LTSS sowie SUSE Linux Enterprise Debuginfo
11 SP3 und 11 SP4 stehen Sicherheitsupdates für ‘openssl’ bereit, um die
Schwachstelle CVE-2021-3712 nun vollständig zu beheben.
Version 10 (15.09.21):
Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für ‘openssl-1_0_0’
bereit, um die Schwachstelle CVE-2021-3712 nun vollständig zu beheben.
Version 9 (13.09.21):
Für SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4 und 12 SP5 sowie
SUSE Linux Enterprise Module for Legacy Software 12 stehen
Sicherheitsupdates für ‘compat-openssl098’ bereit, um die Schwachstelle
CVE-2021-3712 zu beheben.
Version 8 (13.09.21):
Für die Distribution openSUSE Leap 15.2 stehen aktualisierte Pakete für ‘
openssl-1_1’ zur Verfügung, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 7 (10.09.21):
Für openSUSE Leap 15.3, SUSE OpenStack Cloud 9 / Crowbar 9, SUSE Linux
Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server
12 SP4 SAP / LTSS, 12 SP5, 15 SAP / LTSS, 15 SP1 SAP / LTSS / BCL, SUSE
Linux Enterprise Module for Legacy Software 15 SP2, 15 SP3, SUSE
Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates
für ‘openssl-1_0_0’ bereit. Für SUSE OpenStack Cloud 9 / Crowbar 9, SUSE
Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise
Server 12 SP4 SAP / LTSS, 12 SP5 stehen außerdem Sicherheitsupdates für
‘openssl-1_1’ zur Verfügung, um die Schwachstelle CVE-2021-3712 zu
adressieren.
Version 6 (07.09.21):
Für openSUSE Leap 15.3, SUSE MicroOS 5.0, SUSE Linux Enterprise Module for
Basesystem 15 SP2 und 15 SP3, SUSE Linux Enterprise Server for SAP 15 und
15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE
Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1
ESPOS / LTSS sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0
stehen Sicherheitsupdates für ‘openssl-1_1’ bereit, welche die
Schwachstelle CVE-2021-3712 adressieren.
Version 5 (02.09.21):
Canonical informiert über eine mit USN-5051-2 bei Behebung der
Schwachstelle CVE-2021-3712 für Ubuntu 14.04 ESM eingeführte Regression in
OpenSSL und stellt ein Update zur Verfügung, um das Problem zu beheben.
Version 4 (31.08.21):
Für Fedora 33 und 34 stehen Sicherheitsupdates in Form von
‘openssl-1.1.1l-1’-Paketen im Status ‘testing’ bereit, um die
Schwachstellen zu beheben.
Version 3 (27.08.21):
Für SUSE Linux Enterprise Server for SAP 12 SP3, SP4 und SP5 sowie SUSE
Linux Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates
für ‘compat-openssl098’ bereit, um die Schwachstelle CVE-2021-3712 zu
beheben.
Version 2 (26.08.21):
Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 16.04 ESM und Ubuntu 14.04
ESM Sicherheitsupdates für ‘openssl1.0’ bereit, welche die Schwachstelle
CVE-2021-3712 adressieren.
Version 1 (25.08.21):
Neues Advisory
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um
verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen, Informationen
auszuspähen oder weitere Angriffe durchzuführen. Für die Ausnutzung der
Schwachstellen sind keine Privilegien erforderlich.
Der Hersteller informiert über die Schwachstellen und stellt OpenSSL 1.1.1l
und 1.0.2za zu deren Behebung bereit. Die Schwachstelle CVE-2021-3711
betrifft nur den Versionszweig 1.1.1 von OpenSSL.
Für Debian 10 Buster (stable) und Debian 11 Bullseye (stable) stehen
Sicherheitsupdates für ‘openssl’ in den Versionen 1.1.1d-0+deb10u7 bzw.
1.1.1k-1+deb11u1 zur Behebung der Schwachstellen bereit.
Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 20.04 LTS und Ubuntu 21.04
Sicherheitsupdates zur Verfügung, um die Schwachstellen zu beheben.
Für openSUSE Leap 15.2 und 15.3 stehen Sicherheitsupdates für ‘openssl-1_1’
zur Behebung beider Schwachstellen und für ‘openssl-1_0_0’ zur Behebung der
Schwachstelle CVE-2021-3712 bereit.
Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP3, 12 SP4, 15 und
15 SP1, Server 11 SECURITY, 11 SP4 LTSS, 12 SP2 BCL, 12 SP3 BCL / LTSS, 12
SP4 LTSS, 12 SP5, 15 LTSS und 15 SP1 BCL / LTSS, Debuginfo 11 SP3 und 11
SP4, Software Development Kit 12 SP5, Module for Legacy Software 15 SP2 und
15 SP3, High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS,
Module for Basesystem 15 SP2 und 15 SP3, für SUSE OpenStack Cloud 8, 9,
Crowbar 8 und 9, SUSE MicroOS 5.0, SUSE Manager Server und Retail Branch
Server und Proxy jeweils in Version 4.0 sowie SUSE Enterprise Storage 6 und
SUSE CaaS Platform 4.0 stehen verschiedene Sicherheitsupdates zur Behebung
der Schwachstellen zur Verfügung.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2021-1799]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
