Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket openssl

Betroffene Plattformen:

Fedora 17

Mehrere Schwachstellen in OpenSSL erlauben einem entfernten Angreifer
schlimmstenfalls Zugriff auf vertrauliche Daten oder einen
Denial-of-Service-Angriff durchzuführen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2013-0166: Schwachstelle in OpenSSL

OpenSSL führt eine Verifizierung von OCSP-Antworten nicht fehlerfrei durch.
Dies ermöglicht einem entfernten Angreifer durch die Verwendung eines
ungültigen Schlüssels einen Denial-of-Service-Angriff durchzuführen

CVE-2013-0169: Schwachstelle in OpenSSL und PolarSSL

In OpenSSL und PolarSSL existieren Unterschiede im Zeitverhalten bei der
Verarbeitung von gültigem und ungültigem CBC-Padding. Dies ermöglicht einem
entfernten Angreifer durch das Senden von präparierten Paketen und dem
anschließenden Auswerten der Reaktionszeiten, Zugriff auf die verschlüsselt
übertragenen Daten zu erlangen.

CVE-2012-2333: Schwachstelle in OpenSSL

In der Verarbeitung von “Ciphersuites” in TLS 1.1, 1.2 und DTLS im CBC-Modus
ist eine Schwachstelle vorhanden. Diese ermöglicht es einem entfernten
Angreifer einen Denial of Service-Angriff sowohl gegen einen Server als auch
gegen einen Client durchzuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0512/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-March/099759.html

Schwachstelle CVE-2012-2333:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2333

Schwachstelle CVE-2013-0169:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0169

Schwachstelle CVE-2013-0166:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0166

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.