Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
JD Edwards EnterpriseOne Tools 9.2
Betroffene Plattformen:
Apple Mac OS X
GNU/Linux
Microsoft Windows
Oracle Solaris
Mehrere Schwachstellen in OpenSSL betreffen auch Oracle JD Edwards
EnterpriseOne Tools und Oracle JD Edwards World Security ermöglichen einem
entfernten, nicht authentifizierten Angreifer das Ausspähen von
Informationen und verschiedene Denial-of-Service (DoS)-Angriffe.
Oracle informiert über die Schwachstellen und stellt Sicherheitsupdates für
Oracle JD Edwards Produkte bereit bereit. Oracle führt dabei detailliert nur
die Schwachstelle CVE-2017-3732 auf, weist aber darauf hin, dass das
Sicherheitsupdate zur Behebung der Schwachstelle auch CVE-2016-7055,
CVE-2017-3730, CVE-2017-3731 und CVE-2017-3733 adressiert.
Patch:
Oracle Critical Patch Update Advisory Oktober 2017 – CPUOct2017 (JD Edwards)
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixJDE
CVE-2017-3733: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Abhängig von der verwendeten Chiffrenart (Cipher Suite) kann OpenSSL
abstürzen, wenn ‘Encrypt-Then-MAC’ während der Neuverhandlung eines
Handshakes (Renegotiation Handshake) ausgehandelt wird und nicht Teil des
ursprünglichen Handshakes war oder aber Teil des ursprünglichen Handshakes
war und nicht mehr Teil der Neuverhandlung ist. Die Schwachstelle betrifft
Server- und Client-Installationen. Ein entfernter, nicht authentifizierter
Angreifer kann durch Forcieren einer speziellen Art der
Handshake-Verhandlung den gegenüberliegenden Endpunkt (Client oder Server)
zum Absturz bringen und dadurch einen Denial-of-Service (DoS)-Zustand
erzeugen.
Im Kontext des Sicherheitsupdates für Oracle Virtualization wird als
Auswirkung der Schwachstelle das Ausspähen und Manipulieren von Daten
angegeben.
CVE-2017-3732: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen
In der “Montgomery Squaring” Prozedur auf x86_64 Architekturen existiert
eine Schwachstelle aufgrund einer fehlerhaften Berechnung in der Funktion
‘BN_mod_exp’. Elliptic Curve Algorithmen sind davon nicht betroffen und auch
Angriffe gegen RSA und DSA werden als sehr schwierig und deshalb als wenig
wahrscheinlich angesehen. Dagegen erscheinen Angriffe gegen Diffie Hellman
(DH) möglich, wenn persistente DH-Parameter verwendet und private Schlüssel
von vielen Clients geteilt werden. Ein entfernter, nicht authentisierter
Angreifer, der Online-Zugriff auf ein angreifbares System hat, kann diese
Schwachstelle ausnutzen, um private Schlüssel zu ermitteln und damit
sensible Informationen auszuspähen. Diese Schwachstelle ist der in OpenSSL
1.0.2e behobenen CVE-2015-3193 sehr ähnlich, muss aber gesondert behandelt
werden.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
schwer ausnutzbare Schwachstelle in mehreren Komponenten verschiedener
Oracle Produkte. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche oder
kritische Daten zugreifen, die über die jeweils betroffene Komponente
erreichbar sind.
Im Kontext des Oracle Critical Patch Update Advisory October 2017 existiert
diese schwer ausnutzbare Schwachstelle in der JD Edwards EnterpriseOne Tools
Komponente (Subkomponente: Enterprise Infrastructure SEC) und in der JD
Edwards World Security Komponente (Subkomponente: GUI / World Vision) der
Oracle JD Edwards Products. Ein entfernter, nicht authentisierter Angreifer
kann die Schwachstelle über das HTTPS-Protokoll ausnutzen und auf sämtliche
oder kritische Daten zugreifen, die über die jeweils betroffene Komponente
erreichbar sind.
CVE-2017-3731: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
bzw. Ausspähen von Informationen
Wenn ein Server oder Client, welcher SSL/TLS unterstützt, auf einem 32-Bit
Host läuft und spezifische Chiffren verwendet werden, kann ein
abgeschnittenes Paket dazu führen, dass dieser Server oder Client außerhalb
von Speichergrenzen liest (Out-of-bounds Read), wodurch es normalerweise zu
einem Absturz kommt. Für OpenSSL 1.1.0 bevor 1.1.0d kann dieses durch
Verwendung von ‘CHACHA20/POLY1305’ ausgelöst werden, für Openssl 1.0.2 bevor
1.0.2k durch ‘RC4-MD5’, falls dessen Verwendung nicht deaktiviert wurde. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.
Im Kontext der Komponente MySQL Enterprise Monitor von Oracle MySQL
(Subkomponente: Monitoring: General (OpenSSL)) und der Komponente Secure
Global Desktop (Subkomponente: Core (OpenSSL)) ist die Schwachstelle über
das TLS-Protokoll schwierig ausnutzbar und durch einen erfolgreichen Angriff
kann ein vollständiger Denial-of-Service (DoS)-Zustand herbeigeführt werden.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware sowie in der Security Subkomponente der PeopleSoft Enterprise
PeopleTools Komponente in den unterstützten Versionen 8.54 und 8.55 der
Oracle PeopleSoft Products und soll dem Angreifer das Ausspähen von
Informationen ermöglichen. Außerdem wird sie im Kontext von Oracle MySQL
ebenfalls erwähnt und behoben.
CVE-2017-3730: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Wenn ein schädlicher Server schlechte Parameter für einen DHE- oder
ECDHE-Schlüsselaustausch bereitstellt, kann dies dazu führen, dass der
Client versucht einen NULL-Zeiger zu dereferenzieren, wodurch es zum Absturz
des Clients kommt. Ein entfernter, nicht authentisierter Angreifer, der
einen Server kontrolliert, kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Angriff gegen Clients durchzuführen.
CVE-2016-7055: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
In der Prozedur für Broadwell-spezifische Montgomery-Multiplikationen
existiert eine Schwachstelle, die zu fehlerhaften Resultaten führt, wodurch
es zum Fehlschlagen von Authentisierungen und Schlüsselvereinbarungen oder
reproduzierbar falschen Ergebnissen bei Operationen mit öffentlichen
Schlüsseln bei speziell präparierten Eingaben kommen kann. Erste Analysen
legen nahe, dass keine Angriffe gegen private RSA-, DSA- und DH-Schlüssel
möglich sind, da die fragliche Subroutine nicht in Operationen mit privaten
Schlüsseln selbst oder mit direkt von einem Angreifer wählbaren Eingaben
verwendet wird. Unter den Elliptischen Kurven (EC)-Algorithmen gilt nur
die Brainpool P-512 Kurve als betroffen und vermutlich sind Angriffe gegen
die ECDH-Schlüsselvereinbarung möglich. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Angriff durchzuführen.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware, Oracle MySQL und den Oracle PeopleSoft Products.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1830/
Schwachstelle CVE-2016-7055 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7055
Schwachstelle CVE-2017-3730 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3730
Schwachstelle CVE-2017-3731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3731
Schwachstelle CVE-2017-3732 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3732
Schwachstelle CVE-2017-3733 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3733
Oracle Critical Patch Update Advisory Oktober 2017 – CPUOct2017 (JD Edwards):
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixJDE
Oracle CPUOct2017 Risk Matrix – JD Edwards:
http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html#JDE
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
