Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

NetIQ Access Manager < 4.0 SP1 Hotfix 2 OpenSSL Project OpenSSL Betroffene Plattformen: SUSE Linux Enterprise Server 11 Eine Schwachstelle im NetIQ Access Manager im Zusammenhang mit OpenSSL ermöglicht einem entfernten, nicht authentifizierten Angreifer, Sicherheitsvorkehrungen zu umgehen. Patch: Novell Security Advisory Novell-ADV-5193750 https://download.novell.com/Download?buildid=GQCffFuR3Yc~

CVE-2014-3511: Schwachstelle in OpenSSL erlaubt TLS-Protokoll-Downgrade
Angriffe

Eine Schwachstelle im OpenSSL SSL/TLS-Server Code führt dazu, dass der
Server TLS 1.0 anstelle höherer Protokollversionen vereinbart, wenn die
ClientHello-Nachricht schlecht fragmentiert ist. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle für einen
Man-in-the-Middle-Angriff ausnutzen, um durch Veränderung der
TLS-Eintragungen des Clients ein Downgrade auf TLS 1.0 zu erzwingen, selbst
dann, wenn sowohl der Server, als auch der Client eine höhere Versionen
unterstützen würden. Hierdurch werden in der Folge weitere Angriffe
erleichtert. Nutzer von OpenSSL 1.0.1 SSL/TLS Servern sollten die
aktualisierte Version 1.0.1i installieren.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1377/

Schwachstelle CVE-2014-3511 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3511

Novell Security Advisory Novell-ADV-5193750:
https://download.novell.com/Download?buildid=GQCffFuR3Yc~

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.