Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openssl

Betroffene Plattformen:

openSUSE 12.2

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten Angreifer
schlimmstenfalls Zugriff auf die verschlüsselt übertragenen Daten zu
erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.novell.com/index.jsp

CVE-2012-2686: Schwachstelle in OpenSSL

Die TLS 1.1 und 1.2 Implementierung von OpenSSL 1.0.1 vor Version 1.0.1d
enthält in der Datei ‘crypto/evp/e_aes_cbc_hmac_sha1.c’ der
AES-NI-Funktionalität eine Schwachstelle. Diese ermöglicht einem entfernten
Angreifer einen Denial-of-Service-Angriff durchzuführen.

CVE-2013-0166: Schwachstelle in OpenSSL

OpenSSL führt eine Verifizierung von OCSP-Antworten nicht fehlerfrei durch.
Dies ermöglicht einem entfernten Angreifer durch die Verwendung eines
ungültigen Schlüssels einen Denial-of-Service-Angriff durchzuführen

CVE-2013-0169: Schwachstelle in OpenSSL und PolarSSL

In OpenSSL und PolarSSL existieren Unterschiede im Zeitverhalten bei der
Verarbeitung von gültigem und ungültigem CBC-Padding. Dies ermöglicht einem
entfernten Angreifer durch das Senden von präparierten Paketen und dem
anschließenden Auswerten der Reaktionszeiten, Zugriff auf die verschlüsselt
übertragenen Daten zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0393/

Das Hersteller Advisory:
http://lists.opensuse.org/opensuse-updates/

Schwachstelle CVE-2012-2686:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2686

Schwachstelle CVE-2013-0166:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0166

Schwachstelle CVE-2013-0169:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0169

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.