Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Operations Manager v8.16, v9.00
Operations Agent v8.6x.xxx, v11.x
Performance Agent v5.0
Service Health Reporter v9.1
Service Health Optimizer v9.1
Performance Manager v8.1x, v8.2x, v9.x
Betroffene Plattformen:
Alle von HP unterstÃŒtzten OS-Versionen bis auf Solaris x86 und Linux IPF64
Eine Schwachstelle in OpenSSL ermöglicht einem entfernten Angreifer, die
Anwendung zum Absturz zu bringen (Denial-of-Service) oder schlimmstenfalls
beliebige Befehle mit den Rechten der Anwendung zur AusfÃŒhrung zu bringen.
Software Upgrade:
Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.
CVE-2010-3864: Heap Overflow in OpenSSL
Der TLS Code von OpenSSL behandelt benutzerkontrollierte Daten nicht
richtig. Auf einem OpenSSL basierten TLS-Server, der multi-threaded arbeitet
und internes Caching anbietet, kann durch eine Race Condition ein Heap
Overflow bei der Verarbeitung von TLS Server Name Extensions sowie bei
elliptischen Kurven ausgelöst werden. Ein entfernter Angreifer kann diese
Schwachstelle ausnutzen, um den Server zum Absturz zu bringen
(Denial-of-Service) oder schlimmstenfalls beliebige Befehle mit dessen
Rechten zur AusfÃŒhrung zu bringen. Hinweis: OpenSSL 0.9.8f bis 0.9.8o,
1.0.0, und 1.0.0a sind betroffen, Multi-Prozess-Server oder solche ohne
internes Caching (wie der Apache HTTP Server oder Stunnel) sind nicht
betroffen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0191/
Das Hersteller Advisory:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03179825
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
