DFN-CERT-2012-0558 Schwachstellen in OpenSSL [Linux][RedHat]

DFN-CERT-2012-0558 Schwachstellen in OpenSSL [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openssl

Betroffene Plattformen:

RHEL Desktop Workstation Version 5 Client – i386, x86_64
Red Hat Enterprise Linux Version 5 Server – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Desktop Version 5 Client – i386, x86_64
Red Hat Enterprise Linux Desktop Version 6 – i386, x86_64
Red Hat Enterprise Linux Desktop Optional Version 6 – i386, x86_64
Red Hat Enterprise Linux HPC Node Version 6 – x86_64
Red Hat Enterprise Linux HPC Node Optional Version 6 – x86_64
Red Hat Enterprise Linux Server Version 6 – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional Version 6 – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation Version 6 – i386, x86_64
Red Hat Enterprise Linux Workstation Optional Version 6 – i386, x86_64

Aufgrund zweier Schwachstellen in OpenSSL ist es schlimmstenfalls einem
entfernten Angreifer möglich einen Denial-of-Service-Angriff durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2012-0884: Schwachstelle in Implementierung des Cryptographic Message
Syntax Standard in OpenSSL

Die Implementierung des Cryptographic Message Syntax Standards (PKCS #7) in
OpenSSL vor Version 0.9.8u und in OpenSSL 1.x vor Version 1.0.0h schränkt
die Nutzung eines Orakels im Kryptografieprozess nicht hinreichend ein. Dies
erleichtert einem Angreifer mittels einer ‘Million Message Attack’ (MMA)
einen ‘adaptive chosen ciphertext’-Angriff durchzuführen und somit Zugriff
auf die verschlüsselten, vertraulichen Daten zu erlangen.

CVE-2012-1165: Denial-of-Service-Schwachstelle in OpenSSL

Die Funktion mime_param_cmp() in der Datei ‘crypto/asn1/asn_mime.c’ in
OpenSSL vor Version 0.9.8u und in OpenSSL 1.x vor Version 1.0.0h enthält
eine NULL-Pointer-Dereferenzierung. Dies ermöglicht einem entfernten
Angreifer durch das Senden einer präparierten S/MIME-Nachricht einen
Denial-of-Service Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0558/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2012-0426.html

Schwachstelle CVE-2012-0884:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0884

Schwachstelle CVE-2012-1165:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1165

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben