DFN-CERT-2012-0806 Schwachstelle in OpenSSL [Linux][Fedora]

DFN-CERT-2012-0806 Schwachstelle in OpenSSL [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openssl

Betroffene Plattformen:

Fedora 17

Eine Schwachstelle in OpenSSL erlaubt entfernten Angreifern einen Denial of
Service-Angriff durchzuführen oder schlimmstenfalls beliebigen Code zur
Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-2110: Schwachstelle in OpenSSL

In OpenSSL vor Version 0.9.8v, 1.0.0 vor 1.0.0i, und 1.0.1 vor 1.0.1a können
in mehreren Funktionen Integer Overflows ausgelöst werden. Als Folge sind
Buffer Overflows im Heap Segment möglich. Betroffen sind “BIO” oder “FILE”
basierte Funktionsfamilien d2i_*_bio or d2i_*_fp, die DER-kodierte Daten
verarbeiten. Dies betrifft beispielsweise S/MIME oder CMS (Cryptographic
Message Syntax) Anwendungen, die die MIME Parser Funktionen SMIME_read_PKCS7
or SMIME_read_CMS verwenden. Die SSL/TLS Funktionalität von OpenSSL ist
nicht automatisch betroffen, sofern Anwendungen nicht direkt die betroffenen
Funktionen verwenden. Ein entfernter Angreifer kann diese Schwachstelle
ausnutzen, um von der Schwachstelle betroffene Anwendungen zum Absturz zu
bringen oder schlimmstenfalls beliebigen Code zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0806/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/079149.html

Schwachstelle CVE-2012-2110:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2110

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben