Liebes Linux-Magazin-Team,
bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.
Historie:
Version 10 (21.05.19):
Für Red Hat Quay Enterprise 3 x86_64 steht Red Hat Quay Version 3.0.2 als
Sicherheitsupdate bereit, um die Schwachstelle in SSL/TLS zu beheben.
Version 9 (08.02.19):
Fortinet informiert über die Schwachstelle unter anderem in FortiAnalyzer
5.2.9 und darunter, 5.4.0, 5.4.1, 5.4.6 und darüber für den 5.4 Zweig
sowie 6.0.2 und empfiehlt, FortiAnalyzer 5.2.10 und darüber für den 5.2
Zweig, 5.4.2 bis 5.4.5, 5.6.0 und darüber für den 5.6 Zweig, 6.0.0, 6.0.1,
6.0.3 oder neuere Versionen zu verwenden.
Version 8 (19.10.17):
IBM informiert darüber, dass die Schwachstelle im GSKit neben AIX auch IBM
Tivoli Directory Server und IBM Security Directory Server auf AIX, HP-UX,
Linux, Solaris und Windows betrifft. Betroffen sind IBM Tivoli Directory
Server 6.2 geringer 6.2.0.52 und 6.3 geringer 6.3.0.45, IBM Security
Directory Server 6.3.1 geringer 6.3.1.20 und 6.4 geringer 6.4.0.11. Ferner
betroffen ist IBM Security Directory Suite 8.0 und 8.0.1 geringer 8.0.1.1.
Version 7 (06.09.17):
IBM informiert darüber, dass die Schwachstelle im GSKit auch IBM Tivoli
Directory Server und IBM Security Directory Server for AIX betrifft.
Betroffen sind AIX 5.3, 6.1, 7.1, 7.2 und VIOS 2.2.x mit den folgenden
Levels, wenn der betreffend IBM Tivoli Directory Server oder IBM Security
Directory Server installiert ist: für ITDS 6.2 geringer 6.2.0.52, für ITDS
6.3.0 geringer 6.3.0.45, für ISDS 6.3.1 geringer 6.3.1.20 und für ISDS
6.4.0 geringer 6.4.0.11.
Version 6 (07.06.17):
IBM informiert im IBM Security Bulletin 2003558 darüber, dass IBM Tivoli
Access Manager for e-business 6.1 und 6.1.1 sowie IBM Security Access
Manager for Web 7.0 von der Schwachstelle in OpenSSL betroffen sind. Für
IBM Security Access Manager 7.0 steht ein Interim Fix zur Behebung der
Schwachstelle zur Verfügung. Benutzern von IBM Tivoli Access Manager for
e-business 6.1 und 6.1.1 wird ein Upgrade auf IBM Security Access Manager
7 empfohlen. Für den Fall, dass der Interim Fix nicht eingespielt werden
kann oder ein Upgrade nicht möglich ist, stellt IBM über dieselbe Referenz
detaillierte Handlungsanweisungen zur Mitigation der Schwachstelle bereit.
Version 5 (02.05.17):
IBM informiert darüber, dass das GSKit verwundbar gegenüber Sweet32
Birthday Attacks gegen 64-bit Block-Chiffren in TLS ist und Tivoli Storage
Manager (IBM Spectrum Protect) Server in allen Versionen von 5.5, 6.1 und
6.2 (diese Releases sind EOS), 6.3.0.0 – 6.3.6.0, 7.1.0.0 – 7.1.7.0 und
8.1 bevor Version 8.1.1 davon betroffen sind. IBM hat die IBM Tivoli
Storage Manager (IBM Spectrum Protect) Server Versionen 6.3.6.100,
7.1.7.100 und 8.1.1.000 als Sicherheitsupdates für AIX, Linux und Windows
bereitgestellt und gibt Hinweise zur Installation. Kunden die Releases bis
einschließlich 6.2 einsetzen werden angewiesen, auf die unterstützten
Versionszweige zu aktualisieren. Die Sicherheitsupdates in den
Versionszweigen 6.3 und 7.1 sind auch für HP-UX verfügbar.
Version 4 (31.01.17):
IBM informiert über die Verwundbarkeit von Content Collector for IBM
Connections 3.0, 4.0 und 4.0.1 auf Windows für ‘Sweet32: Birthday Attacks’
und stellt IBM Connections 4.0.0.3 Interim Fix 005, IBM Connections
4.0.1.3 Interim Fix 001 und IBM Connections 4.0.1.4 Interim Fix 001 als
Sicherheitsupdates zur Verfügung.
Version 3 (20.12.16):
IBM informiert über die Verwundbarkeit von IBM DB2 V9.7, V10.1, V10.5 und
V11.1 Editionen auf AIX, Linux, HP, Solaris oder Windows für ‘Sweet32:
Birthday Attacks’ und kündigt an, dass zukünftige Fix Packs die Auswahl
und Verwendung der unsicheren Triple-DES-Chiffren nicht mehr erlauben
werden. Ferner informiert IBM über Konfigurationsmöglichkeiten zur
Vermeidung des Risikos.
Version 2 (02.12.16):
IBM informiert über die Verwundbarkeit von IBM Mobile Connect in Version
6.1.5.2 für ‘Sweet32: Birthday Attacks’ und stellt den Fix IV90603 zur
Verfügung.
Version 1 (26.08.16):
Neues Advisory
Eine Schwachstelle in OpenSSL ermöglicht einem entfernten, nicht
authentisierten Angreifer aufgrund der möglichen Verwendung des unsicheren
Kryptoalgorithmus ‘Triple-DES’ in TLS-Verbindungen den
Sicherheitsmechanismus der Verschlüsselung aufzubrechen und infolgedessen
sensible Informationen auszuspähen.
OpenSSL veröffentlicht zur Mitigation der Schwachstelle die Versionen 1.0.1u
und 1.0.2i, in denen die Einstufung der Verschlüsselungsgüte für die
verwundbaren DES-Algorithmen von ‘HIGH’ auf ‘MEDIUM’ herabgesetzt wurde, um
deren Verwendung und dadurch die Ausnutzbarkeit der Schwachstelle
einzuschränken. Zusätzlich werden mit der neuen OpenSSL Version 1.1.0 der
‘Triple-DES’-Algorithmus standardmäßig deaktiviert und weitere
Verbesserungen zur Anhebung des Sicherheitsniveaus umgesetzt, indem
beispielsweise eine Reihe als unsicher anzusehender Algorithmen entfernt
wurden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2016-1391]
Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team
—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html
