Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Oracle Sun Systems Products Suite < ILOM 3.2.6 Oracle Sun Systems Products Suite < XCP Firmware 1123 Oracle Sun Systems Products Suite < XCP Firmware 2340 Oracle Sun Systems Products Suite < XCP Firmware 3030 Oracle Solaris Cluster 3.3 Oracle Solaris Cluster 4.3 Sun System Firmware < 9.7.6 Sun ZFS Storage Appliance Kit AK 2013 Betroffene Plattformen: Oracle Sun Systems Products Suite Oracle Solaris In der Oracle Sun Systems Products Suite sowie in Oracle Sun Solaris existieren mehrere Schwachstellen in verschiedenen Komponenten. Zu den Komponenten gehören Sun ZFS Storage Appliance Kit, XCP-Firmware, ILOM und Solaris Cluster sowie OpenSSL und NTP. Die Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten Angreifer Daten zu manipulieren, Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen oder einen vollständigen Denial-of-Service (DoS)-Zustand der Systeme zu bewirken. Oracle stellt am regulären Oktober Patchday Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. In der Übersicht der behobenen Schwachstelle wird CVE-2016-6304 stellvertretend für die Schwachstellen CVE-2016-2182, CVE-2016-2183, CVE-2016-6302, CVE-2016-6306, CVE-2016-6515 und CVE-2017-3731 sowie CVE-2016-7431 stellvertretend für CVE-2016-7429 und CVE-2016-7433 genannt. Oracle gibt außerdem an, dass die verfügbaren Sicherheitsupdates die Schwachstellen CVE-2017-5706 und CVE-2017-5709 im Oracle Server X7-2, X7-2L und X7-8 beheben, über welche allerdings keine weiteren Informationen zur Verfügung stehen. Patch: Oracle Critical Patch Update Advisory Oktober 2017 - CPUOct2017 (Oracle Sun Systems Products Suite) http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixSUNS
Patch:
Oracle Sun Systems Products Suite CPUOct 017 Risk Matrix
http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html#SUNS
CVE-2017-3588: Schwachstelle in Solaris Cluster ermöglicht u.a. Manipulation
von Daten
In der Subkomponente “HA for MySQL” des Solaris Clusters 3.3 und 4.3 der
Oracle Sun Systems Products Suite existiert eine nicht näher beschriebene,
leicht auszunutzende Schwachstelle. Ein lokaler, am Betriebssystem
angemeldeter Angreifer kann diese Schwachstelle ausnutzen um Daten
auszuspähen, zu verändern oder zu löschen, sowie einen partiellen
Denial-of-Service-Zustand zu bewirken.
CVE-2017-10275: Schwachstelle in Sun ZFS Storage Appliance Kit ermöglicht
Denial-of-Service-Angriff
Die Komponente Sun ZFS Storage Appliance Kit in Version AK 2013 der Oracle
Sun Systems Products Suite (Subkomponente: Filesystem) enthält eine leicht
auszunutzende Schwachstelle. Ein lokaler, niedrig privilegierter Angreifer
kann die Schwachstelle mittels der Interaktion mit einem Benutzer der
Software ausnutzen, um einen Denial-of-Service-Zustand zu bewirken.
CVE-2017-10265: Schwachstelle in Oracle Sun Systems Products Suite
ermöglicht u.a. Manipulation von Daten
Die Komponente Oracle Integrated Lights Out Manager (ILOM) der Oracle Sun
Systems Products Suite (Subkomponente: System Management) enthält eine
leicht auszunutzende Schwachstelle. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle ausnutzen und einen
Denial-of-Service-Angriff gegen den Integrated Light Out Managers
durchführen, sowie Daten des ILOM verändern, löschen oder ausspähen.
CVE-2017-10260: Schwachstelle in Oracle Sun Systems Products Suite
ermöglicht Denial-of-Service-Angriff
Die Komponente Oracle Integrated Lights Out Manager (ILOM) der Oracle Sun
Systems Products Suite (Subkomponente: System Management) enthält eine
leicht auszunutzende Schwachstelle. Ein entfernter, nicht authentisierter
Angreifer kann die Schwachstelle ausnutzen und einen vollständigen
Denial-of-Service-Zustand des Integrated Light Out Managers herbeiführen.
CVE-2017-10194: Schwachstelle in Oracle Sun Systems Products Suite
ermöglicht Ausspähen von Informationen
Die Komponente Oracle Integrated Lights Out Manager (ILOM) der Oracle Sun
Systems Products Suite (Subkomponente: System Management) enthält eine
leicht auszunutzende Schwachstelle. Ein entfernter, authentisierter, hoch
privilegierter Angreifer kann die Schwachstelle ausnutzen und Informationen
ausspähen.
CVE-2017-10099: Schwachstelle in Oracle Sun Systems Products Suite
ermöglicht Denial-of-Service-Angriff
In der Subkomponente Firmware der auf SPARC M7, T7, S7 basierenden
Server-Komponente der Oracle Sun Systems Products Suite existiert eine
leicht ausnutzbare Schwachstelle. Ein lokaler, einfach authentisierter, hoch
privilegierte Angreifer kann die Schwachstelle ausnutzen und die auf SPARC
M7, T7, S7 basierenden Server kompromittieren, wodurch ein Denial-of-Service
(DoS)-Zustand herbeigeführt werden kann.
CVE-2017-3731: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
bzw. Ausspähen von Informationen
Wenn ein Server oder Client, welcher SSL/TLS unterstützt, auf einem 32-Bit
Host läuft und spezifische Chiffren verwendet werden, kann ein
abgeschnittenes Paket dazu führen, dass dieser Server oder Client außerhalb
von Speichergrenzen liest (Out-of-bounds Read), wodurch es normalerweise zu
einem Absturz kommt. Für OpenSSL 1.1.0 bevor 1.1.0d kann dieses durch
Verwendung von ‘CHACHA20/POLY1305’ ausgelöst werden, für Openssl 1.0.2 bevor
1.0.2k durch ‘RC4-MD5’, falls dessen Verwendung nicht deaktiviert wurde. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.
Im Kontext der Komponente MySQL Enterprise Monitor von Oracle MySQL
(Subkomponente: Monitoring: General (OpenSSL)) und der Komponente Secure
Global Desktop (Subkomponente: Core (OpenSSL)) ist die Schwachstelle über
das TLS-Protokoll schwierig ausnutzbar und durch einen erfolgreichen Angriff
kann ein vollständiger Denial-of-Service (DoS)-Zustand herbeigeführt werden.
Im Kontext des Oracle Critical Patch Update Advisory Juli 2017 besteht diese
Schwachstelle in einer nicht spezifizierten Komponente der Oracle Fusion
Middleware sowie in der Security Subkomponente der PeopleSoft Enterprise
PeopleTools Komponente in den unterstützten Versionen 8.54 und 8.55 der
Oracle PeopleSoft Products und soll dem Angreifer das Ausspähen von
Informationen ermöglichen. Außerdem wird sie im Kontext von Oracle MySQL
ebenfalls erwähnt und behoben.
CVE-2016-7433: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff
NTP enthält eine Schwachstelle, die auf einer fehlerhaften Behebung eines
Bugs in der Funktion ‘root delay’ zur Erzielung korrekter Werte für die
Funktion ‘jitter value’ beruht. Ein lokaler, nicht authentisierter Angreifer
kann die Schwachstelle auf nicht näher beschriebene Weise für einen
Denial-of-Service-Angriff ausnutzen.
CVE-2016-7431: Schwachstelle in NTP ermöglicht Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in NTP beruht auf einer fehlerhaften Behebung einer
Zero-Origin-Schwachstelle in Version 4.2.8p6, die zu einer Verlangsamung bei
bestimmten Sicherheitüberprüfungen führt. Ein entfernter, nicht
authentisierter Angreifer kann die Schwachstelle auf nicht näher
beschriebene Weise ausnutzen, um Sicherheitsvorkehrungen zu umgehen.
CVE-2016-7429: Schwachstelle in NTP ermöglicht Denial-of-Service-Angriff
NTPD enthält eine Schwachstelle, die auf einer fehlerhaften Überprüfung des
Interfaces für Abfragen an einen NTP-Server beruht. In Fällen, in denen das
‘Reverse Path Filtering’ (rp_filter) des Betriebssystems bei der Verwendung
mehrerer Interfaces für verschiedene Netzwerke deaktiviert ist, kann NTPD zu
einer falschen Wahl des Interfaces veranlasst werden. Ein entfernter, nicht
authentisierter Angreifer kann durch Übermittlung von Paketen mit
gefälschter Quell-Adresse diese Schwachstelle ausnutzen und eine weitere
Synchronisation des Systems mit dem Zeitserver unterbinden.
CVE-2016-6306: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Durch fehlende Längenprüfungen von Nachrichten, die Klientenzertifikate
(Client Certificates), Klientenzertifikatsanfragen (Client Certificate
Requests) und Serverzertifikate (Server Certificates) betreffen, kann es zum
Zugriff auf Speicher außerhalb des zugewiesenen Speicherbereichs kommen
(Out-of-Bounds Read). Ein entfernter, nicht authentifzierter Angreifer kann
dadurch auf bis zu zwei Bytes aus nicht alloziertem Speicher zugreifen, der
anschließend nicht freigeben wird, und dadurch möglicherweise einen
Denial-of-Service-Zustand auslösen
Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.
CVE-2016-6304: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
In OpenSSL existiert eine Schwachstelle bei der Verarbeitung von
OCSP-Anfragen. Wenn ein Client eine extrem große OCSP Status Request
Extension sendet und fortwährend eine Neuvereinbarung anfragt, wobei er
jedes Mal eine große OCSP Status Request Extension übermittelt, kommt es zu
einem unbegrenzten Speicherzuwachs auf dem Server und in der Folge
möglicherweise zu einer vollständigen Speicherausschöpfung. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, um einen
Denial-of-Service (DoS)-Angriff durchzuführen. Server mit
Default-Konfiguration sind verwundbar, selbst wenn sie kein OCSP
unterstützen. Builds mit “no-ocsp” Build Time Option sind dagegen nicht
betroffen, ebenso wenig Server, die OpenSSL Versionen vor 1.0.1g in
Default-Konfiguration verwenden, es sei denn eine Anwendung ermöglicht
explizit OCSP Stapling Support.
Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.
CVE-2016-6302: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Die Funktion ‘tls_decrypt_ticket’ in ‘ssl/t1_lib.c’ berücksichtigt die Größe
des HMAC nicht bei der Validierung einer Ticket-Länge. Dies macht Server,
welche SHA512 für die Berechnung des HMAC-Wertes von TLS-Session-Tickets
verwenden, angreifbar für ein Lesen über Speichergrenzen hinweg
(Out-of-Bounds Read), wodurch es zu einem ultimativen Absturz kommt. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle mit
Hilfe eines zu kurzen Tickets ausnutzen, um einen Denial-of-Service
(DoS)-Angriff durchzuführen.
Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.
CVE-2016-2182: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Die Funktion ‘BN_bn2dec’ in ‘crypto/bn/bn_print.c’ in OpenSSL verwendet den
Rückgabewert einer Division mittels der Funktion ‘BN_div_word’ ohne weitere
Prüfung, wodurch es zu einem Schreiben über Speichergrenzen hinweg
(Out-of-Bounds Write) kommen kann, wenn eine Anwendung die Funktion mit
einer außergewöhnlich großen BIGNUM verwendet, etwa wenn ein außergewöhnlich
großes Zertifikat oder die Zertifikatssperrliste (CRL) einer nicht
vertrauenswürdigen Quelle ausgegeben wird. Ein entfernter, nicht
authentisierter Angreifer kann diese Schwachstelle ausnutzen, um die
Anwendung zum Absturz zu bringen (Denial-of-Service, DoS) oder
möglicherweise weitere, nicht näher spezifizierte Angriffe durchführen.
Das Protokoll TLS ist nicht von dieser Schwachstelle betroffen, da
Record-Begrenzungen zum Abweisen eines übergroßen Zertifikates führen, bevor
dieses eingelesen wird.
Android Security Bulletin – März 2017: Im Kontext des Google Android
Operating Systems ermöglicht die Schwachstelle einem entfernten, nicht
authentisierten Angreifer die Ausführung beliebigen Programmcodes im Kontext
eines privilegierten Prozesses.
Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.
CVE-2016-2183: Schwachstelle in SSL/TLS ermöglicht Umgehen von
Sicherheitsvorkehrungen
HTTPS und viele andere Dienste, welche die kryptographischen Protokolle SSL
und TLS zum Zweck der Verschlüsselung verwenden, können standardmäßig unter
anderem den ‘Triple-DES’-Kryptoalgorithmus nutzen, der gegen den sogenannten
Geburtstagsangriff (Birthday Attack, SWEET32) verwundbar ist. Die
Schwachstelle ist aufgrund der Art und Weise wie Browser
Authentifizierungs-Cookies (Session Cookies) behandeln ausnutzbar, weil
diese zwischen einem Webdienst und dem Browser wiederholt hin und her
geschickt werden. Verfügt ein Angreifer über die Möglichkeit genügend
Datenverkehr zwischen diesen Endpunkten zu genieren, indem er beispielsweise
ein bösartiges JavaScript-Programm im Browser eines Benutzers ausführt oder
diesen auf eine hierfür präparierte Webseite leitet, und kann darüber hinaus
diesen Datenverkehr mitschneiden, ermöglicht dies bei ausreichender
Datenmenge einen Kollisionsangriff (Collision Attack) durchzuführen und den
Inhalt des Session Cookies zu enthüllen. Ein entfernter, nicht
authentisierter Angreifer kann Sicherheitsvorkehrungen umgehen und
infolgedessen Informationen ausspähen.
Im Kontext des Oracle Critical Patch Update Advisory CPUApr2017 betrifft
diese Schwachstelle unter anderem die API Gateway Komponente der Oracle
Fusion Middleware.
CVE-2016-6515: Schwachstelle in OpenSSH ermöglicht Denial-of-Service-Angriff
Durch eine Schwachstelle in der Systemfunktion ‘crypt’ in OpenSSH kann die
CPU bei der Verarbeitung langer Passwörter, welche über ‘sshd’ gesandt
werden, stark belastet werden. Ein entfernter, nicht authentifizierter
Angreifer kann einen Denial-of-Service-Zustand (DoS) erzeugen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1831/
Schwachstelle CVE-2016-6515 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6515
Schwachstelle CVE-2016-2182 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2182
Schwachstelle CVE-2016-2183 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183
Schwachstelle CVE-2016-6302 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6302
Schwachstelle CVE-2016-6304 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6304
Schwachstelle CVE-2016-6306 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-6306
Schwachstelle CVE-2016-7429 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7429
Schwachstelle CVE-2016-7431 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7431
Schwachstelle CVE-2016-7433 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-7433
Schwachstelle CVE-2017-3731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3731
Oracle Critical Patch Update Advisory Oktober 2017 – CPUOct2017 (Oracle Sun
Systems Products Suite):
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html#AppendixSUNS
Oracle Sun Systems Products Suite CPUOct 017 Risk Matrix:
http://www.oracle.com/technetwork/security-advisory/cpuoct2017verbose-3236627.html#SUNS
Schwachstelle CVE-2017-10099 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10099
Schwachstelle CVE-2017-10194 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10194
Schwachstelle CVE-2017-10260 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10260
Schwachstelle CVE-2017-10265 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10265
Schwachstelle CVE-2017-10275 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-10275
Schwachstelle CVE-2017-3588 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3588
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
