UPDATE: DFN-CERT-2014-0420 Schwachstelle in OpenSSL TLS/DTLS Heartbeat ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][RedHat][SuSE][Unix][AIX][FreeBSD][NetBSD][OpenBSD][VMware][Netzwerk][Cisco]

UPDATE: DFN-CERT-2014-0420 Schwachstelle in OpenSSL TLS/DTLS Heartbeat ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][RedHat][SuSE][Unix][AIX][FreeBSD][NetBSD][OpenBSD][VMware][Netzwerk][Cisco]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 8 (15.04.2014):
Sicherheitsupdates stehen für OpenBSD 5.3, 5.4 und 5.5 bereit. Für Fedora
19 und 20 wurde OpenSSL für mingw von der Schwachstelle befreit.
Version 7 (14.04.2014):
IBM meldet, dass u.a. AIX 6.1 TL9 und AIX 7.1 TL3 betroffen sind und
stellt nun OpenSSL ohne Heartbeat-Erweiterung bereit.
Version 6 (11.04.2014):
VMWare stellt Updates für verschiedene Produkte bereit.
Redhat stellt eine überarbeitete Version des Hypervisors für Red Hat
Enterprise Virtualization 3 zur Verfügung.
Version 5 (10.04.2014):
FreeRADIUS stellt Patches für die aktuell unterstützten Versionen zur
Verfügung.
Version 4 (10.04.2014):
FreeBSD, Fedora, Cisco, Juniper, NetBSD, F5 und das Tor-Projekt stellen
Updates oder Informationen zum Umgang mit der Schwachstelle zur Verfügung.

Version 3 (09.04.2014):
Für das Produkt Red Hat Enterprise Virtualization 3 steht nun auch ein
Sicherheitspatch zur Verfügung.
Version 2 (08.04.2014):
Für die Distributionen openSUSE 12.3 und 13.1 stehen nun auch
Sicherheitspatches zur Verfügung.
Version 1 (08.04.2014):
Neues Advisory

Betroffene Software:

OpenSSL Project OpenSSL >= 1.0.1
OpenSSL Project OpenSSL <= 1.0.1F Betroffene Plattformen: CISCO Anyconnect Secure Mobility Client Cisco Unified Communications Manager 10.0 Big-IP Access Policy Manager (APM) >= 11.5.0
Big-IP Access Policy Manager (APM) <= 11.5.1 BIG-IP Advanced Firewall Manager (AFM) >= 11.5.0
BIG-IP Advanced Firewall Manager (AFM) <= 11.5.1 F5 BIG-IP Application Security Manager (ASM) >= 11.5.0
F5 BIG-IP Application Security Manager (ASM) <= 11.5.1 BIG-IP Global Traffic Manager (GTM) >= 11.5.0
BIG-IP Global Traffic Manager (GTM) <= 11.5.1 F5 Networks BIGIP Local Traffic Manager (LTM) >= 11.5.0
F5 Networks BIGIP Local Traffic Manager (LTM) <= 11.5.1 BIG-IP Policy Enforcement Manager (PEM) >= 11.5.0
BIG-IP Policy Enforcement Manager (PEM) <= 11.5.1 Freeradius <= 2.2.3 Freeradius <= 3.0.1 Juniper Network Connect Juniper Network Connect >= 7.4R5
Juniper Network Connect <= 7.4R9.1 Juniper Network Connect >= 8.0R1
Juniper Network Connect <= 8.0R3.1 Odyssey Client >= 5.6r5
Pulse >= 4.0r5
Pulse >= 4.2R1
Pulse >= 5.0r1
Unified Access Control >= 4.4r1
Unified Access Control >= 5.0r1
Redhat Enterprise Virtualization 3
Tor Browser <= 3.5.3 VMware Fusion 6.0.x VMware Horizon Mirage 4.4.0 VMware Horizon View Client 2.1.x VMware Horizon View Client 2.2.x VMware Horizon View Client 2.3.x VMware Horizon View Feature Pack 1 5.3 VMware Horizon View Feature Pack 2 5.2 VMware Horizon Workspace 1.0 VMware Horizon Workspace 1.5 VMware Horizon Workspace 1.8 VMware Horizon Workspace Client 1.5.1 VMware Horizon Workspace Client 1.5.2 VMware NSX-MH 4.x VMware NSX-V 6.0.x VMWare NVP 3.x VMWare OVF Tool 3.5.0 VMware vCloud Automation Center (vCAC) 5.1.x VMware vCloud Automation Center (vCAC) 5.2.x VMWare vCenter Converter 5.5.x VMware vCenter Server 5.5 VMware vCloud Networking and Security (vCNS) 5.1.3 VMware vCloud Networking and Security (vCNS) 5.5.1 vFabric Web Server >= 5.0.x
vFabric Web Server <= 5.3.x Cisco TelePresence Video Communication Server Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 Cisco IOS XE Debian Linux 7.4 Wheezy Debian Linux 8.0 Jessie FreeBSD 8 FreeBSD 8.3 FreeBSD 8.4 FreeBSD 9 FreeBSD 9.1 FreeBSD 9.2 FreeBSD 10 FreeBSD 10.0 IBM AIX 6.1 IBM AIX 7.1 Juniper IVE OS >= 7.4r1
Juniper IVE OS >= 8.0r1
Juniper JUNOS >= 13.3
NetBSD >= 6.0
NetBSD <= 6.0.4 NetBSD >= 6.1
NetBSD <= 6.1.3 openSUSE 12.3 openSUSE 13.1 OpenBSD 5.3 OpenBSD 5.4 OpenBSD 5.5 Red Hat Enterprise Linux 6 Server Red Hat Enterprise Linux Desktop 6 Red Hat Enterprise Linux Workstation 6 Red Hat Fedora 19 Red Hat Fedora 20 VMware ESXi 5.5 Eine Schwachstelle in der TLS/DTLS Erweiterung Heartbeat ermöglicht es einem entfernten, nicht angemeldeten Angreifer bis zu 64KB Speicherinhalt aus dem Hauptspeicher auszulesen und dadurch Zugriff auf sensitive Daten wie private Schlüssel zu erhalten. Sollte der Angreifer vergangene Kommunikation aufgezeichnet haben, besteht die Gefahr, dass diese nun auch entschlüsselt werden kann. Hinweis: Diese Schwachstelle wurde erst in OpenSSL 1.0.1 eingeführt. Ältere Versionen sind nicht betroffen. Update 1: FreeBSD behebt diese Schwachstellen für alle unterstützten Version, d.h. für stable/10, releng/10.0, stable/9, releng/9.1, releng/9.2, stable/8, releng/8.3 und releng/8.4. Das Tor Projekt stellt den Tor Browser 3.5.4 als fehlerbereinigte Version zur Verfügung. Fedora stellt Updates für Fedora 19 und 20 bereit. Cisco hat bisher "Cisco IOS XE", "Cisco Unified Communication Manager (UCM) 10.0", "AnyConnect Secure Mobility Client for iOS" und "TelePresence Video Communication Server" als verwundbar erkannt. Cisco wird Patches für diese Produkte bereitstellen. Die Liste der betroffenen Produkte wird kontinuierlich unter dem aufgeführten Link aktualisiert. Juniper hat mehrere Produkte als betroffen gekennzeichnet und arbeitet noch an Sicherheitsupdates. NetBSD 6.x ist von der Schwachstelle betroffen, während die 5.x Versionen nicht verwundbar sind, Informationen zum Update werden über das Avisory von NetBSD zur Verfügung gestellt. F5 stellt für eine Reihe von BIG-IP Produkten Informationen zur Verwundbarkeit und zum Umgang mit der Schwachstelle zur Verfügung. Das Ubuntu Update behebt noch eine weitere Schwachstelle, als die hier referenzierte und wurde bereits veröffentlicht, ist hier aber zur Vollständigkeit noch einmal hinzugefügt worden. Update 2: FreeRADIUS stellt Patches für die aktuell unterstützten Versionen zur Verfügung. Update 3: VMWare stellt Updates für verschiedene Produkte bereit. Redhat stellt eine überarbeitete Version des Hypervisors für Red Hat Enterprise Virtualization 3 zur Verfügung. Update 4: IBM meldet, dass u.a. AIX 6.1 TL9 und AIX 7.1 TL3 betroffen sind und stellt nun OpenSSL ohne Heartbeat-Erweiterung bereit. Update 5: Sicherheitsupdates stehen für OpenBSD 5.3, 5.4 und 5.5 bereit. Für Fedora 19 und 20 wurde OpenSSL für mingw von der Schwachstelle befreit. Patch: Ubuntu Security Notice USN-2165-1 http://www.ubuntu.com/usn/usn-2165-1/

Patch:

Red Hat Security Advisory RHSA-2014-0378

http://rhn.redhat.com/errata/RHSA-2014-0378.html

Patch:

Debian Security Advisory DSA-2896-1

http://www.debian.org/security/2014/dsa-2896

Patch:

Redhat Security Advisory RHSA-2014:0376-1

http://rhn.redhat.com/errata/RHSA-2014-0376.html

Patch:

openSUSE Security Update openSUSE-SU-2014:0492-1

http://lists.opensuse.org/opensuse-updates/2014-04/msg00015.html

Patch:

Tor Hersteller-Advisory

https://blog.torproject.org/blog/tor-browser-354-released

Patch:

Cisco Security Advisory cisco-sa-20140409-heartbleed

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed

Patch:

FreeBSD Hersteller-Advisory

http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3a06.openssl.asc

Patch:

Fedora Update FEDORA-2014-4910

https://admin.fedoraproject.org/updates/FEDORA-2014-4910/openssl-1.0.1e-37.fc19.1

Patch:

Fedora Update FEDORA-2014-4879

https://admin.fedoraproject.org/updates/FEDORA-2014-4879/openssl-1.0.1e-37.fc20.1

Patch:

Juniper Hersteller-Advisory

http://kb.juniper.net/index?page=content&id=JSA10623&actp=RSS

Patch:

NetBSD Security Advisory

http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-004.txt.asc

Patch:

F5 Security Advisory

http://support.f5.com/kb/en-us/solutions/public/15000/100/sol15159.html?ref=rss

Patch:

Security Advisory FreeRADIUS

http://freeradius.org/security.html

Patch:

VMWare Security Advisory

http://kb.vmware.com/kb/2076225

Patch:

Red Hat Security Advisory RHSA-2014-0396

http://rhn.redhat.com/errata/RHSA-2014-0396.html

Patch:

IBM Product Security Incident Response Blog OpenSSL Heartbleed
(CVE-2014-0160)

https://www-304.ibm.com/connections/blogs/PSIRT/entry/openssl_heartbleed_cve_2014_0160?lang=en_us

Patch:

VMware Security Advisory VMSA-2014-0004

http://www.vmware.com/security/advisories/VMSA-2014-0004.html

Patch:

OpenBSD 5.5 Security Advisory 002

http://www.openbsd.org/errata55.html#002_openssl

Patch:

OpenBSD 5.4 Security Advisory 007

http://www.openbsd.org/errata54.html#007_openssl

Patch:

OpenBSD 5.3 Security Advisory 014

http://www.openbsd.org/errata53.html#014_openssl

Patch:

Fedora Update FEDORA-2014-4982

https://admin.fedoraproject.org/updates/FEDORA-2014-4982/mingw-openssl-1.0.1e-6.fc20

Patch:

Fedora Update FEDORA-2014-4999

https://admin.fedoraproject.org/updates/FEDORA-2014-4999/mingw-openssl-1.0.1e-6.fc19

CVE-2014-0160: Schwachstelle in OpenSSL TLS/DTLS Heartbeat

Eine Schwachstelle in der OpenSSL TLS/DTLS Heartbeat Erweiterung führt dazu,
dass Speichergrenzen nicht beachtetet werden, wodurch bis zu 64K
Hauptspeicher auslesbar sind. Dies gilt sowohl für Server wie auch für
Clients.

Diese Schwachstelle wurde erst in OpenSSL 1.0.1 eingeführt. Ältere Versionen
sind nicht betroffen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0420/

Ubuntu Security Notice USN-2165-1:
http://www.ubuntu.com/usn/usn-2165-1/

Red Hat Security Advisory RHSA-2014-0378:
http://rhn.redhat.com/errata/RHSA-2014-0378.html

Schwachstelle CVE-2014-0160 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

Debian Security Advisory DSA-2896-1:
http://www.debian.org/security/2014/dsa-2896

Redhat Security Advisory RHSA-2014:0376-1:
http://rhn.redhat.com/errata/RHSA-2014-0376.html

openSUSE Security Update openSUSE-SU-2014:0492-1:
http://lists.opensuse.org/opensuse-updates/2014-04/msg00015.html

Tor Hersteller-Advisory:
https://blog.torproject.org/blog/tor-browser-354-released

Cisco Security Advisory cisco-sa-20140409-heartbleed:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed

FreeBSD Hersteller-Advisory:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3a06.openssl.asc

Fedora Update FEDORA-2014-4910:
https://admin.fedoraproject.org/updates/FEDORA-2014-4910/openssl-1.0.1e-37.fc19.1

Fedora Update FEDORA-2014-4879:
https://admin.fedoraproject.org/updates/FEDORA-2014-4879/openssl-1.0.1e-37.fc20.1

Juniper Hersteller-Advisory:
http://kb.juniper.net/index?page=content&id=JSA10623&actp=RSS

NetBSD Security Advisory:
http://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2014-004.txt.asc

F5 Security Advisory:
http://support.f5.com/kb/en-us/solutions/public/15000/100/sol15159.html?ref=rss

Security Advisory FreeRADIUS:
http://freeradius.org/security.html

VMWare Security Advisory:
http://kb.vmware.com/kb/2076225

Red Hat Security Advisory RHSA-2014-0396:
http://rhn.redhat.com/errata/RHSA-2014-0396.html

IBM Product Security Incident Response Blog OpenSSL Heartbleed (CVE-2014-0160)
:
https://www-304.ibm.com/connections/blogs/PSIRT/entry/openssl_heartbleed_cve_2014_0160?lang=en_us

VMware Security Advisory VMSA-2014-0004:
http://www.vmware.com/security/advisories/VMSA-2014-0004.html

OpenBSD 5.5 Security Advisory 002:
http://www.openbsd.org/errata55.html#002_openssl

OpenBSD 5.4 Security Advisory 007:
http://www.openbsd.org/errata54.html#007_openssl

OpenBSD 5.3 Security Advisory 014:
http://www.openbsd.org/errata53.html#014_openssl

Fedora Update FEDORA-2014-4982:
https://admin.fedoraproject.org/updates/FEDORA-2014-4982/mingw-openssl-1.0.1e-6.fc20

Fedora Update FEDORA-2014-4999:
https://admin.fedoraproject.org/updates/FEDORA-2014-4999/mingw-openssl-1.0.1e-6.fc19

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben