DFN-CERT-2013-0469 Mehrere Schwachstellen in OpenSSL [Linux][RedHat]

DFN-CERT-2013-0469 Mehrere Schwachstellen in OpenSSL [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openssl

Betroffene Plattformen:

RHEL Desktop Workstation (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux (v. 5 server) – i386, ia64, ppc, s390x, x86_64
Red Hat Enterprise Linux Desktop (v. 5 client) – i386, x86_64
Red Hat Enterprise Linux Desktop (v. 6) – i386, x86_64
Red Hat Enterprise Linux Desktop Optional (v. 6) – i386, x86_64
Red Hat Enterprise Linux HPC Node (v. 6) – x86_64
Red Hat Enterprise Linux HPC Node Optional (v. 6) – x86_64
Red Hat Enterprise Linux Server (v. 6) – i386, ppc64, s390x, x86_64
Red Hat Enterprise Linux Server Optional (v. 6) – i386, ppc64, s390x,
x86_64
Red Hat Enterprise Linux Workstation (v. 6) – i386, x86_64
Red Hat Enterprise Linux Workstation Optional (v. 6) – i386, x86_64

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten Angreifer
schlimmstenfalls Zugriff auf die verschlüsselt übertragenen Daten zu
erlangen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

https://rhn.redhat.com

CVE-2013-0166: Schwachstelle in OpenSSL

OpenSSL führt eine Verifizierung von OCSP-Antworten nicht fehlerfrei durch.
Dies ermöglicht einem entfernten Angreifer durch die Verwendung eines
ungültigen Schlüssels einen Denial-of-Service-Angriff durchzuführen

CVE-2013-0169: Schwachstelle in OpenSSL und PolarSSL

In OpenSSL und PolarSSL existieren Unterschiede im Zeitverhalten bei der
Verarbeitung von gültigem und ungültigem CBC-Padding. Dies ermöglicht einem
entfernten Angreifer durch das Senden von präparierten Paketen und dem
anschließenden Auswerten der Reaktionszeiten, Zugriff auf die verschlüsselt
übertragenen Daten zu erlangen.

CVE-2012-4929: Schwachstelle im TLS Protokoll 1.2 und früher

Das TLS Protokoll 1.2 und früher erlaubt die Verschlüsselung zuvor
komprimierter Daten ohne die Länge der unverschlüsselten Daten richtig zu
verbergen. Diese Schwachstelle kann über Man-in-the-middle Angriffe
ausgenutzt werden, um Klartextinhalte in einem HTTP-Header, z.B.
Session-Cookies, zu erschließen (Compression Ratio Info-leak Made Easy- oder
CRIME-Attack).

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0469/

Das Hersteller Advisory:
https://rhn.redhat.com/errata/RHSA-2013-0587.html

Schwachstelle CVE-2012-4929:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-4929

Schwachstelle CVE-2013-0166:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0166

Schwachstelle CVE-2013-0169:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0169

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben