—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Sun Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

CVE-2008-7270 – Erzwingen einer deaktivierten “ciphersuite” bei
aktiviertem SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG

In OpenSSL vor Version 0.9.8j, sofern
SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG aktiviert ist, ist eine
Schwachstelle enthalten. OpenSSL verhindert nicht das Veraendern der
“ciphersuite” im Session-Cache. Ein entfernter Angreifer kann dies
ausnutzen, um die Verwendung einer deaktivierten Cipher zu erzwingen.
Vorraussetzung hierfuer ist die Kenntnis des Session-Identifiers, die
z.B. durch das Abhoeren von Datenpaketen ermittelt werden kann. Dies ist
nicht dieselbe Schwachstelle wie CVE-2010-4180.

Betroffen sind die folgenden Software Pakete und Plattformen:

OpenSSL

Solaris 10 SPARC ohne Patches 146857-01 + 143559-07
Solaris 10 X86 ohne Patch 146859-01

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Timo Schulz

– —
Timo Schulz, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen: https://www.cert.dfn.de/autowarn

19 Apr 2011 CVE-2008-7270 vulnerability in OpenSSL posted by chandan in Alerts
CVE Description CVSSv2 Base Score Component Product and Resolution
CVE-2008-7270 Cryptographic Issues vulnerability 4.3 OpenSSL Solaris 10 SPARC: 146857-01 143559-07 X86: 146859-01

This notification describes vulnerabilities fixed in third-party components that are included in Sun’s product distribution.
Information about vulnerabilities affecting Oracle Sun products can be found on Oracle Critical Patch Updates and Security Alerts page.

—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.9 (GNU/Linux)

iQEcBAEBAgAGBQJNrvFhAAoJEJtyb8U7iGZB50MH/1PoxL1FiLf51r7sw9nHTz4C
mxM0cQB8msj1e5sCMrO2E1348SpojZSBRgrzWkXLURz84WbC7TcsWocbCH/Kqksu
7svqtGo2eEXFEJKJwJEMM0vTID5v+xOWFUQWgclD+u3/gBEsMznT6wDriEaRJ8ec
uvHP/nTaPIm3Pe/irYt9Qipv35vnnYlIIC4tzKtURbu0Z4HR2cRRt4bvlANqhOek
2+vC9OpMSkVnsrSHsqhNBbN0a8mx1ddoKyOj9NFPYB/Ip2MUeBydZ9TukwuwpL79
i+oDy3iqHcWGIXPLN5uNd6cy133QpoPIl/xoi9qZY0rbKzIRY3bBw87cblKEN5A=
=O0p6
—–END PGP SIGNATURE—–