Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
OpenSSL Project OpenSSL <= 1.0.0B
Betroffene Plattformen:
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.1
Eine Schwachstelle in OpenSSL vor Version 1.0.0c erlaubt einem entfernten,
nicht authentisierten Angreifer Benutzerrechte auf einem anderen System zu
erlangen.
F5 Networks teilt mit, welche Produkte und Versionen von dieser
Schwachstelle betroffen sind. Unter anderem enthalten die BIG-IP PSM
Versionen 10.1.0 bis 10.2.1 die angreifbare Version von OpenSSL, das
verwundbare Feature wird allerdings in unterstützten Konfigurationen nicht
verwendet.
Patch:
F5 Networks Security Advisory sol17382
http://support.f5.com/kb/en-us/solutions/public/17000/300/sol17382.html?ref=rss
CVE-2010-4252: Schwachstelle in OpenSSL / OpenSSH
Die in OpenSSL und OpenSSH enthaltene Implementierung des Protokolls
Password Authenticated Key Exchange by Juggling (J-PAKE) überprüft
verschiedene Parameter unzureichend auf ihre Gültigkeit. Dies kann von einem
Angreifer dazu ausgenutzt werden, um spezielle Parameter in das Protokoll
einzuschleusen, welche zur Aushandlung eines unsicheren Session-Keys führen.
Ein Angreifer kann diese Schwachstelle ausnutzen um sich ohne die Kenntnis
eines sogenannten “Shared Secrets” gegenüber einem anderen System zu
authentifizieren.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1571/
F5 Networks Security Advisory sol17382:
http://support.f5.com/kb/en-us/solutions/public/17000/300/sol17382.html?ref=rss
Schwachstelle CVE-2010-4252 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4252
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
