UPDATE: DFN-CERT-2014-0421 Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen [Linux][Unix][FreeBSD]

UPDATE: DFN-CERT-2014-0421 Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen [Linux][Unix][FreeBSD]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (09.04.2014):
FreeBSD behebt diese Schwachstellen für alle unterstützten Version, d.h.
für stable/10, releng/10.0, stable/9, releng/9.1, releng/9.2, stable/8,
releng/8.3 und releng/8.4.
Version 1 (08.04.2014):
Neues Advisory

Betroffene Software:

OpenSSL Project OpenSSL <= 1.0.1F Betroffene Plattformen: Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 12.10 Canonical Ubuntu Linux 13.10 FreeBSD 8 FreeBSD 8.3 FreeBSD 8.4 FreeBSD 9 FreeBSD 9.1 FreeBSD 9.2 FreeBSD 10 FreeBSD 10.0 Mehrere Schwachstellen in der TLS/DTLS Implementierung ermöglichen es einem nicht authentifizierten, entfernten Angreifer das Erlangen von sensiblen Informationen wie z.B. privaten Schlüsseln oder das Wiederherstellen von ECDSA Nonce-Werte . Patch: Ubuntu Security Notice USN-2165-1 http://www.ubuntu.com/usn/usn-2165-1/

Patch:

FreeBSD Hersteller-Advisory

http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3a06.openssl.asc

CVE-2014-0160: Schwachstelle in OpenSSL TLS/DTLS Heartbeat

Eine Schwachstelle in der OpenSSL TLS/DTLS Heartbeat Erweiterung führt dazu,
dass Speichergrenzen nicht beachtetet werden, wodurch bis zu 64K
Hauptspeicher auslesbar sind. Dies gilt sowohl für Server wie auch für
Clients.

Diese Schwachstelle wurde erst in OpenSSL 1.0.1 eingeführt. Ältere Versionen
sind nicht betroffen.

CVE-2014-0076: Schwachstelle in openssl

Innerhalb der “Montgomery ladder”-Implementierung von openssl ist ein
konstantes Zeitverhalten der Swap-Operationen nicht garantiert. Ein
entfernter, nicht authentifizierter Angreifer kann mittels eines sogenannten
“Flush + Reload” Cache Side-Channel-Angriff ECDSA Nonce-Werte
wiederherstellen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0421/

Schwachstelle CVE-2014-0076 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0076

Ubuntu Security Notice USN-2165-1:
http://www.ubuntu.com/usn/usn-2165-1/

Schwachstelle CVE-2014-0160 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160

FreeBSD Hersteller-Advisory:
http://www.freebsd.org/security/advisories/FreeBSD-SA-14%3a06.openssl.asc

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben