Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

LibreSSL >= 2.5.1
LibreSSL <= 2.5.3 Betroffene Plattformen: GNU/Linux Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in LibreSSL ausnutzen und sich als Client mit einem beliebigen Zertifikat über TLS mit einem betroffenen Server verbinden oder als Server mit einem beliebigen Zertifikat gültige Verbindungen vortäuschen, da die Benutzerverifizierung unter bestimmten Umständen immer den Wert 'X509_V_OK' zurück liefert und frühere Fehler im Verifizierungsprozess ignoriert werden. Der Hersteller veröffentlicht LibreSSL 2.5.4 zur Behebung der Schwachstelle. Patch: LibreSSL 2.5.4 Release Notes https://ftp.openbsd.org/pub/OpenBSD/LibreSSL/libressl-2.5.4-relnotes.txt

CVE-2017-8301: Schwachstelle in LibreSSL ermöglicht Umgehen von
Sicherheitsvorkehrungen

Durch eine fehlerhafte Konsistenzprüfung in ‘x509_vfy.c’ in LibreSSL 2.5.1
bis 2.5.3 werden X.509-Zertifikate in Programmen fehlerhaft verifiziert,
wenn von Benutzern kontrollierbare Verifizierungs-Callbacks verwendet
werden, die immer den Wert ‘1’ zurück liefern. Spätere Prüfungen von
API-Benutzern durch die Funktion ‘SSL_get_verify_result’ werden in diesem
Fall im Widerspruch zur API-Dokumentation ignoriert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0790/

LibreSSL 2.5.4 Release Notes:
https://ftp.openbsd.org/pub/OpenBSD/LibreSSL/libressl-2.5.4-relnotes.txt

Schwachstelle CVE-2017-8301 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8301

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.