DFN-CERT-2014-0715 OpenSSL: Mehrere Schwachstellen erlauben verschiedene Angriffe [Linux][SuSE]

DFN-CERT-2014-0715 OpenSSL: Mehrere Schwachstellen erlauben verschiedene Angriffe [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

OpenSSL Project OpenSSL

Betroffene Plattformen:

SUSE Linux Enterprise Security Module 11 SP3
SuSE SUSE Linux Enterprise Software Development Kit 11 SP3 Enterprise
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht
authentifizierten Angreifer einen Denial-of-Service-Zustand zu erzeugen,
einen Man-in-the-middle-Angriff durch- oder beliebigen Programmcode
auszuführen.

SUSE stellt ein Sicherheitsupdate für das SUSE Linux Enterprise Security
Module 11 SP3 zur Verfügung, welches bis auf die CVE-2014-0076 die
angegebenen Schwachstellen behebt.
Für SUSE Linux Enterprise Server 11 SP1 LTSS und SP2 LTSS werden die
Schwachstellen CVE-2014-0076, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470
behoben.
Für für SUSE Linux Enterprise 11 SP3 stehen für Desktop, Server, Server für
VMware und das Software Development Kit Sicherheitsupdates für die
Schwachstellen CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 zur Verfügung.

Patch:

SUSE Security Update: SUSE-SU-2014:0761-1

http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00005.html

Patch:

SUSE Security Update: SUSE-SU-2014:0759-1

http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00004.html

Patch:

SUSE Security Update: SUSE-SU-2014:0762-1

http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00006.html

CVE-2014-3470: Schwachstelle in OpenSSL erlaubt Denial-of-Service

Eine Schwachstelle in OpenSSL besteht in einer fehlerhaften Behandlung von
anonymen EDH-Ciphersuiten. Ein entfernter, nicht authentisierter Angreifer
kann diese Schwachstelle ausnutzen, um OpenSSL zum Absturz zu bringen, d. h.
einen Denial-of-Service-Angriff durchzuführen.

CVE-2014-0224: Schwachstelle in OpenSSL erlaubt Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in OpenSSL besteht in einer fehlerhaften Behandlung
bestimmter Handshakes. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um einen Man-in-the-middle-Angriff
durchzuführen und möglicherweise verschlüsselten Netzwerkverkehr
entschlüsseln und verändern.

CVE-2014-0221: Schwachstelle in OpenSSL erlaubt Denial-of-Service

Eine Schwachstelle in OpenSSL besteht in einer fehlerhaften Behandlung von
DTLS-Rekursionen. Ein entfernter, nicht authentisierter Angreifer kann diese
Schwachstelle ausnutzen, um OpenSSL zum Absturz zu bringen, d. h. einen
Denial-of-Service-Angriff durchzuführen.

CVE-2014-0195: Schwachstelle in OpenSSL erlaubt Denial-of-Service

Eine Speicherüberlauf-Schwachstelle existiert in OpenSSL. Diese
Schwachstelle kann von einem entfernten, nicht authentisierten Angreifer
ausgenutzt werden, indem er ungültige DTLS-Fragmente an einen OpenSSL
DTLS-Client oder Server sendet, um einen Denial-of-Service-Angriff
durchzuführen oder möglicherweise beliebigen Programmcode auf dem
verwundbaren System auszuführen.

CVE-2014-0198: Schwachstelle in OpenSSL

Eine Schwachstelle in der Funktion “do_ssl3_write()” besteht in einer
fehlerhaften Speicherbehandlung. Ein entfernter, nicht authentisierter
Angreifer kann durch speziell präparierten Netzwerkverkehr OpenSSL zum
Absturz bringen, d.h. einen Denial-of-Service-Zustand verursachen.

CVE-2014-0076: Schwachstelle in OpenSSL

Innerhalb der “Montgomery ladder”-Implementierung von openssl ist ein
konstantes Zeitverhalten der Swap-Operationen nicht garantiert. Ein
entfernter, nicht authentifizierter Angreifer kann mittels eines sogenannten
“Flush + Reload” Cache Side-Channel-Angriff ECDSA Nonce-Werte
wiederherstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0715/

Schwachstelle CVE-2014-0076 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0076

Schwachstelle CVE-2014-0198 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0198

Schwachstelle CVE-2014-0195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0195

Schwachstelle CVE-2014-0221 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0221

Schwachstelle CVE-2014-0224 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224

Schwachstelle CVE-2014-3470 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3470

SUSE Security Update: SUSE-SU-2014:0761-1:
http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00005.html

SUSE Security Update: SUSE-SU-2014:0759-1:
http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00004.html

SUSE Security Update: SUSE-SU-2014:0762-1:
http://lists.opensuse.org/opensuse-security-announce/2014-06/msg00006.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben