Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

openSSL

Betroffene Plattformen:

NetBSD 6.0
NetBSD-5-0
NetBSD-5-1
NetBSD-5
NetBSD-4-0
NetBSD-4

Eine Schwachstelle in OpenSSL erlaubt es einem Angreifer, einen
Denial-of-Service Angriff auf betroffene Systeme zu starten oder
schlimmstenfalls beliebigen Code mit den Rechten der Anwendung zur
Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

CVE-2012-2110: Schwachstelle in OpenSSL

In OpenSSL vor Version 0.9.8v, 1.0.0 vor 1.0.0i, und 1.0.1 vor 1.0.1a können
in mehreren Funktionen Integer Overflows ausgelöst werden. Als Folge sind
Buffer Overflows im Heap Segment möglich. Betroffen sind “BIO” oder “FILE”
basierte Funktionsfamilien d2i_*_bio or d2i_*_fp, die DER-kodierte Daten
verarbeiten. Dies betrifft beispielsweise S/MIME oder CMS (Cryptographic
Message Syntax) Anwendungen, die die MIME Parser Funktionen SMIME_read_PKCS7
or SMIME_read_CMS verwenden. Die SSL/TLS Funktionalität von OpenSSL ist
nicht automatisch betroffen, sofern Anwendungen nicht direkt die betroffenen
Funktionen verwenden. Ein entfernter Angreifer kann diese Schwachstelle
ausnutzen, um von der Schwachstelle betroffene Anwendungen zum Absturz zu
bringen oder schlimmstenfalls beliebigen Code zur Ausführung zu bringen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-1074/

Das Hersteller Advisory:

Schwachstelle CVE-2012-2110:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2110

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.