DFN-CERT-2012-0958 Mehrere Schwachstellen in OpenSSL [Linux][SuSE]

DFN-CERT-2012-0958 Mehrere Schwachstellen in OpenSSL [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openssl

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP2
SUSE Linux Enterprise Software Development Kit 11 SP1
SUSE Linux Enterprise Server 11 SP2
SUSE Linux Enterprise Server 11 SP1 für VMware
SUSE Linux Enterprise Server 11 SP1
SUSE Linux Enterprise Desktop 11 SP2
SUSE Linux Enterprise Desktop 11 SP1

Schwachstellen in OpenSSL erlauben einem entfernten Angreifer
schlimmstenfalls beliebigen Code zur Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://download.opensuse.org/update/

CVE-2012-2131: Schwachstelle in OpenSSL

In OpenSSL der Version 0.9.8v wurde in der Datei ‘crypto/buffer/buffer.c’
beim Beheben der Schwachstelle CVE-2012-2110 nicht berücksichtigt, dass das
Argument ‘len’ auch negative Werte annehmen kann. Dies ermöglicht einem
entfernten Angreifer durch das Erzeugen eines Buffer Overflows einen
Denial-of-Service-Zustand (Speicherkorruption) auszulösen.

CVE-2012-2110: Schwachstelle in OpenSSL

In OpenSSL vor Version 0.9.8v, 1.0.0 vor 1.0.0i, und 1.0.1 vor 1.0.1a können
in mehreren Funktionen Integer Overflows ausgelöst werden. Als Folge sind
Buffer Overflows im Heap Segment möglich. Betroffen sind “BIO” oder “FILE”
basierte Funktionsfamilien d2i_*_bio or d2i_*_fp, die DER-kodierte Daten
verarbeiten. Dies betrifft beispielsweise S/MIME oder CMS (Cryptographic
Message Syntax) Anwendungen, die die MIME Parser Funktionen SMIME_read_PKCS7
or SMIME_read_CMS verwenden. Die SSL/TLS Funktionalität von OpenSSL ist
nicht automatisch betroffen, sofern Anwendungen nicht direkt die betroffenen
Funktionen verwenden. Ein entfernter Angreifer kann diese Schwachstelle
ausnutzen, um von der Schwachstelle betroffene Anwendungen zum Absturz zu
bringen oder schlimmstenfalls beliebigen Code zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0958/

Das Hersteller Advisory:
http://www.novell.com/linux/security/securitysupport.html

Schwachstelle CVE-2012-2110:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2110

Schwachstelle CVE-2012-2131:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2131

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben