DFN-CERT-2012-1261 Schwachstellen in OpenSSL [Unix][Solaris]

DFN-CERT-2012-1261 Schwachstellen in OpenSSL [Unix][Solaris]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSSL

Betroffene Plattformen:

Solaris 11 ohne Patch 11/11 SRU 8.5
Solaris 10 für SPARC ohne Patch 147159-05 und 147707-06
Solaris 10 für X86 ohne Patch 146672-07

Aufgrund zweier Schwachstellen ist es einem entfernten Angreifer möglich die
Anwendung zum Absturz zu bringen oder schlimmstenfalls beliebigen Code zur
Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://login.oracle.com/mysso/signon.jsp

CVE-2012-2131: Schwachstelle in OpenSSL

In OpenSSL der Version 0.9.8v wurde in der Datei ‘crypto/buffer/buffer.c’
beim Beheben der Schwachstelle CVE-2012-2110 nicht berücksichtigt, dass das
Argument ‘len’ auch negative Werte annehmen kann. Dies ermöglicht einem
entfernten Angreifer durch das Erzeugen eines Buffer Overflows einen
Denial-of-Service-Zustand (Speicherkorruption) auszulösen.

CVE-2012-2110: Schwachstelle in OpenSSL

In OpenSSL vor Version 0.9.8v, 1.0.0 vor 1.0.0i, und 1.0.1 vor 1.0.1a können
in mehreren Funktionen Integer Overflows ausgelöst werden. Als Folge sind
Buffer Overflows im Heap Segment möglich. Betroffen sind “BIO” oder “FILE”
basierte Funktionsfamilien d2i_*_bio or d2i_*_fp, die DER-kodierte Daten
verarbeiten. Dies betrifft beispielsweise S/MIME oder CMS (Cryptographic
Message Syntax) Anwendungen, die die MIME Parser Funktionen SMIME_read_PKCS7
or SMIME_read_CMS verwenden. Die SSL/TLS Funktionalität von OpenSSL ist
nicht automatisch betroffen, sofern Anwendungen nicht direkt die betroffenen
Funktionen verwenden. Ein entfernter Angreifer kann diese Schwachstelle
ausnutzen, um von der Schwachstelle betroffene Anwendungen zum Absturz zu
bringen oder schlimmstenfalls beliebigen Code zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1261/

Das Hersteller Advisory:
https://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_openssl1

Schwachstelle CVE-2012-2110:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2110

Schwachstelle CVE-2012-2131:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2131

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben