Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openssl

Betroffene Plattformen:

Fedora 15
Fedora 17

Zwei Schwachstellen in OpenSSL ermöglichen einem entfernten Angreifer einen
Denial-of-Service-Angriff durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-0884: Schwachstelle in Implementierung des Cryptographic Message
Syntax Standard in OpenSSL

Die Implementierung des Cryptographic Message Syntax Standards (PKCS #7) in
OpenSSL vor Version 0.9.8u und in OpenSSL 1.x vor Version 1.0.0h schränkt
die Nutzung eines Orakels im Kryptografieprozess nicht hinreichend ein. Dies
erleichtert einem Angreifer mittels einer ‘Million Message Attack’ (MMA)
einen ‘adaptive chosen ciphertext’-Angriff durchzuführen und somit Zugriff
auf die verschlüsselten, vertraulichen Daten zu erlangen.

CVE-2012-1165: Denial-of-Service-Schwachstelle in OpenSSL

Die Funktion mime_param_cmp() in der Datei ‘crypto/asn1/asn_mime.c’ in
OpenSSL vor Version 0.9.8u und in OpenSSL 1.x vor Version 1.0.0h enthält
eine NULL-Pointer-Dereferenzierung. Dies ermöglicht einem entfernten
Angreifer durch das Senden einer präparierten S/MIME-Nachricht einen
Denial-of-Service Zustand herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0669/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/077221.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/077666.html

Schwachstelle CVE-2012-1165:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1165

Schwachstelle CVE-2012-0884:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0884

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.