Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSSL Project OpenSSL <= 1.0.1F Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Mehrere Schwachstellen in der TLS/DTLS Implementierung ermöglichen es einem nicht authentifizierten, entfernten Angreifer das Erlangen von sensiblen Informationen wie z.B. privaten Schlüsseln oder das Wiederherstellen von ECDSA Nonce-Werte . Patch: Ubuntu Security Notice USN-2165-1 http://www.ubuntu.com/usn/usn-2165-1/

CVE-2014-0160: Schwachstelle in OpenSSL TLS/DTLS Heartbeat

Eine Schwachstelle in der OpenSSL TLS/DTLS Heartbeat Erweiterung führt dazu,
dass Speichergrenzen nicht beachtetet werden, wodurch bis zu 64K
Hauptspeicher auslesbar sind. Dies gilt sowohl für Server wie auch für
Clients.

Diese Schwachstelle wurde erst in OpenSSL 1.0.1 eingeführt. Ältere Versionen
sind nicht betroffen.

CVE-2014-0076: Schwachstelle in openssl

Innerhalb der “Montgomery ladder”-Implementierung von openssl ist ein
konstantes Zeitverhalten der Swap-Operationen nicht garantiert. Ein
entfernter, nicht authentifizierter Angreifer kann mittels eines sogenannten
“Flush + Reload” Cache Side-Channel-Angriff ECDSA Nonce-Werte
wiederherstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0421/

Schwachstelle CVE-2014-0076 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0076

Ubuntu Security Notice USN-2165-1:
http://www.ubuntu.com/usn/usn-2165-1/

Schwachstelle CVE-2014-0160 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.