UPDATE: DFN-CERT-2013-1746 PolarSSL: Schwachstellen ermöglichen Zugriff auf verschlüsselt übertragene Daten [Linux][Debian][Fedora][RedHat][Unix]

UPDATE: DFN-CERT-2013-1746 PolarSSL: Schwachstellen ermöglichen Zugriff auf verschlüsselt übertragene Daten [Linux][Debian][Fedora][RedHat][Unix]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (22.10.2013):
Die Hersteller von Fedora und Debian stellen Updates zur Verfügung.
Version 1 (07.10.2013):
Neues Advisory

Betroffene Software:

PolarSSL <= 1.3.0 Debian Linux <= 7.2 Wheezy Red Hat Fedora <= 18 Red Hat Fedora <= 19 Red Hat Fedora <= 20 Betroffene Plattformen: Debian Fedora Linux RedHat UNIX Zwei Schwachstellen in PolarSSL ermöglichen es einem entfernten Angreifer, Zugriff auf die verschlüsselt übertragenen Daten zu erlangen. Patch: PolarSSL Security Advisory 2013-05 https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2013-05

Patch:

PolarSSL Security Advisory 2013-04

https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2013-04

CVE-2013-5915: Schwachstelle in PolarSSL

Die RSA-CRT-Implementierung in PolarSSL führt eine Montgomery-Multiplikation
nicht fehlerfrei durch. Dies ermöglicht einem entfernten Angreifer durch das
Messen von Antwortzeiten den privaten RSA-Schlüssel zu ermitteln.

CVE-2013-5914: Schwachstelle in PolarSSL

Bei der Verwendung von TLS 1.1 versäumt PolarSSL in der Funktion
ssl_read_record() die Länge der Eingabedaten zu überprüfen. Dies ermöglicht
einem entfernten Angreifer durch das Senden eines übergroßen Paketes einen
Pufferüberlauf des Eingangspuffers herbeizuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1746/

Schwachstelle CVE-2013-5915 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5915

PolarSSL Security Advisory 2013-05:
https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2013-05

PolarSSL Security Advisory 2013-04:
https://polarssl.org/tech-updates/security-advisories/polarssl-security-advisory-2013-04

Schwachstelle CVE-2013-5914 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-5914

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben