Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 19 (09.09.2016):
Für openSUSE Leap 42.1 stehen Sicherheitsupdates für libtcnative-1-0
bereit.
Version 18 (01.09.2016):
Für SUSE Linux Enterprise Software Development Kit 12 SP1 und Server 12
SP1 stehen Sicherheitsupdates für libtcnative-1-0 bereit.
Version 17 (20.06.2016):
Für die SUSE Linux Enterprise-Produkte Software Development Kit und Server
in Version 11-SP4 stehen Sicherheitsupdates für MySQL zur Verfügung.
Version 16 (26.05.2016):
Für die SUSE Linux Enterprise Produkte Server und Desktop stehen jeweils
für die Versionen 12 und 12 SP1 Sicherheitsupdates für socat bereit.
Version 15 (17.02.2016):
Für openSUSE 13.1, openSUSE 13.2 und openSUSE Leap 42.1 stehen
Sicherheitsupdates für ‘socat’ auf Version 1.7.3.1 zur Verfügung, um diese
und eine weitere Sicherheitslücke zu beheben.
Version 14 (10.09.2015):
Für die SUSE Linux Enterprise 11 Produkte Software Development Kit SP3 und
SP4, Server SP3, SP4 und SP3 für VMware, High Availability Extension SP3
und SP4 sowie Desktop SP3 und SP4 stehen Sicherheitsupdates für GnuTLS
bereit.
Version 13 (03.09.2015):
Für die SUSE Linux Enterprise Distributionen Software Development Kit 11
SP4 / SP3, Server für VMWare 11 SP3, Server 11 SP4 / SP3 / SECURITY sowie
Desktop 11 SP4 / SP3 werden Sicherheitsupdates für openldap2 zur Verfügung
gestellt.
Version 12 (16.07.2015):
IBM gibt bekannt, dass die IBM Java Versionen, die mit IBM Notes und
Domino ausgeliefert werden, gegenüber der Logjam Attacke auf
TLS-Verbindungen bei Verwendung von Diffie-Hellman (DH) Schlüsselaustausch
verwundbar sein können. Die native TLS-Implementierung in IBM Notes und
Domino ist dagegen nicht betroffen. IBM stellt Interim Fixes bereit.
Version 11 (13.07.2015):
Für SUSE Linux Enterprise Server 11 SP2 LTSS und SUSE Linux Enterprise
Server 11 SP1 LTSS stehen Sicherheitsupdates für MySQL bereit.
Version 10 (10.07.2015):
HP gibt bekannt, dass der HP-UX Apache Web Server in der
Standardkonfiguration nicht für diese Schwachstelle anfällig ist. Sollten
aber DH (Diffie-Hellman) und EXPORT Ciphers konfiguriert sein, dann ist
der Apache für Logjam verwundbar und HP empfiehlt, folgende Zeile in der
“httpd-ssl.conf” einzutragen: “SSLCipherSuite
!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:!EXP:+eNULL”. Danach muss
der Apache neu gestartet werden.
Version 9 (09.07.2015):
Für openSUSE 13.1 und 13.2 stehen Sicherheitsupdates für MySQL Community
Server zur Verfügung.
Version 8 (03.07.2015):
SUSE stellt für SUSE Linux Enterprise Desktop 11 SP3, Server 11 SP3,
Server 11 SP3 für VMware sowie das Software Development Kit 11 SP3
Sicherheitsupdates für MySQL zur Verfügung.
Version 7 (25.06.2015):
Red Hat stellt für Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates für
die Network Security Services (NSS) zur Verfügung.
Version 6 (18.06.2015):
FreeBSD stellt für alle unterstützten Versionen Sicherheitsupdates für
sendmail bereit.
Version 5 (05.06.2015):
Für verschiedene Varianten von Red Hat Enterprise Linux 6 und 7 stehen
Sicherheitsupdates in Form aktualisierter Pakete von openSSL zur
Verfügung.
Version 4 (04.06.2015):
Für Fedora 20 steht ein Sicherheitsupdate in Form des Paketes
openssl-1.0.1e-43.fc20 im Status ‘testing’ zur Verfügung, wodurch die
LOGJAM-Sicherheitslücke vermieden und eine Regression im Locking des
RAND-Subsystems behoben wird.
Version 3 (01.06.2015):
Für Fedora 20, 21 und 22 steht ein Upstream-Sicherheitsupdate auf das NSS
3.19.1 Release in Form der Pakete nss-3.19.1-1.0.fc20,
nss-softokn-3.19.1-1.0.fc20, nss-util-3.19.1-1.0.fc20;
nss-3.19.1-1.0.fc21, nss-softokn-3.19.1-1.0.fc21,
nss-util-3.19.1-1.0.fc21; nss-3.19.1-1.0.fc22,
nss-softokn-3.19.1-1.0.fc22, nss-util-3.19.1-1.0.fc22 im Status ‘testing’
zur Verfügung.
Version 2 (29.05.2015):
Das FileZilla-Projekt hat FileZilla Version 3.11.0.1 veröffentlicht, um
die Logjam-Schwachstelle zu beheben. Für Fedora 22 steht ein
Upstream-Sicherheitsupdate in Form des Paketes filezilla-3.11.0.1-1.fc22
im Status ‘testing’ zur Verfügung.
Version 1 (29.05.2015):
Neues Advisory
Betroffene Software:
Apple Safari
socat
socat < 1.7.3.1
F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4
F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0
F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1
FileZilla <= 3.11.0
GNU GnuTLS
Google Chrome
IBM Java
Mozilla Firefox
Mozilla Network Security Services <= 3.19
Mozilla SeaMonkey
OpenLDAP 2
OpenSSL Project OpenSSL
Oracle MySQL
Sendmail Sendmail
HP-UX Apache-Based Web Server Suite
Apple Mac OS X
FreeBSD
GNU/Linux
HP-UX family of operating systems
IBM AIX
Juniper Junos OS
Microsoft Windows
NetBSD
OpenBSD
Oracle Solaris
Betroffene Plattformen:
IBM Notes and Domino <= 8.5.3 Fix Pack 6
IBM Notes and Domino <= 9.0.1 Fix Pack 4
SUSE Linux Enterprise High Availability Extension 11 SP3 Enterprise
SUSE Linux Enterprise High Availability Extension 11 SP4 Enterprise
SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP1
F5 Networks BIG-IP Systeme
Apple Mac OS X
FreeBSD <= 8.4-RELEASE-p30
FreeBSD 8.4-STABLE
FreeBSD <= 9.3-RELEASE-p16
FreeBSD 9.3-STABLE
FreeBSD <= 10.1-RELEASE-p12
FreeBSD 10.1-STABLE
GNU/Linux
HP-UX family of operating systems
IBM AIX
Juniper Junos OS
Microsoft Windows
NetBSD
openSUSE 13.1
openSUSE 13.2
openSUSE Leap 42.1
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 11 SP4
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Server 11 SP1 LTSS
SUSE Linux Enterprise Server 11 SECURITY
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 for VMware
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Server 12 SP1
OpenBSD
Oracle Solaris
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.6.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Red Hat Fedora 20
Red Hat Fedora 21
Red Hat Fedora 22
Eine Schwachstelle in dem Handshake des TLS-Protokolls vor Version 1.2
ermöglicht einem entfernten, nicht authentifizierten Angreifer durch einen
Man-in-the-middle-Angriff die verwendete Verschlüsselung auf eine unsichere
Verschlüsselung durch eine 512-Bit DHE Gruppe zu zwingen. Dadurch kann der
Angreifer den Schlüssel leichter berechnen und in der Folge Daten lesen und
manipulieren. Der Angriff setzt die Unterstützung des US-EXPORT-Modus
voraus. Es handelt sich bei der Schwachstelle um einen Fehler in der
Spezifikation von TLS und deshalb ist zu erwarten, dass alle Produkte, die
TLS implementieren, betroffen sind.
Verschiedene Hersteller arbeiten bereits an Sicherheitsupdates. F5 Networks
benennt BIG-IP PSM bis einschließlich Version 11.4.1 als verwundbar. Das
Konfigurationswerkzeug ist aber nur verwundbar in den Versionen 10.1.0 -
10.2.4 und es sind lediglich solche Client SSL-Profile betroffen, für die
COMPAT-, EXP- oder EXPORT Ciphers zugelassen ist.
Patch:
Fedora Security Update FEDORA-2015-9016
https://admin.fedoraproject.org/updates/FEDORA-2015-9016/filezilla-3.11.0.1-1.fc22
Patch:
FileZilla Download-Webseite
https://filezilla-project.org/
Patch:
Fedora Security Update FEDORA-2015-9048
Patch:
Fedora Security Update FEDORA-2015-9161
Patch:
Fedora Security Updatesv FEDORA-2015-9130
Patch:
Fedora Security Update FEDORA-2015-9371
https://admin.fedoraproject.org/updates/FEDORA-2015-9371/openssl-1.0.1e-43.fc20
Patch:
Red Hat Security Advisory RHSA-2015:1072
http://rhn.redhat.com/errata/RHSA-2015-1072.html
Patch:
FreeBSD Security Advisory FreeBSD-EN-15%3A08.sendmail
http://www.freebsd.org/security/advisories/FreeBSD-EN-15%3A08.sendmail.asc
Patch:
Red Hat Security Advisory RHSA-2015:1185
http://rhn.redhat.com/errata/RHSA-2015-1185.html
Patch:
SUSE Security Update SUSE-SU-2015:1177-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151177-1.html
Patch:
openSUSE Security Update openSUSE-SU-2015:1209-1
http://lists.opensuse.org/opensuse-updates/2015-07/msg00016.html
Patch:
SUSE Security Update SUSE-SU-2015:1177-2
https://www.suse.com/support/update/announcement/2015/suse-su-20151177-2.html
Patch:
SUSE Security Update SUSE-SU-2015:1482-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151482-1.html
Patch:
SUSE Security Update SUSE-SU-2015:1526-1
https://www.suse.com/support/update/announcement/2015/suse-su-20151526-1.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0478-1
http://lists.opensuse.org/opensuse-updates/2016-02/msg00094.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0483-1
http://lists.opensuse.org/opensuse-updates/2016-02/msg00097.html
Patch:
Juniper Security Bulletin JSA10681
http://kb.juniper.net/index?page=content&id=JSA10681&actp=RSS
Patch:
SUSE Security Update SUSE-SU-2016:0344-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160344-1.html
Patch:
SUSE Security Update SUSE-SU-2016:1618-1
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002127.html
Patch:
SUSE Security Update SUSE-SU-2016:2209-1
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002246.html
Patch:
openSUSE Security Update openSUSE-SU-2016:2267-1
http://lists.opensuse.org/opensuse-updates/2016-09/msg00034.html
CVE-2015-4000: TLS: Eine Schwachstelle ermöglicht Umgehen von
Sicherheitsmaßnahmen
Eine Schwachstelle im Handshake des TLS-Protokolls Version 1.2 und früher
führt dazu, dass bei der Aushandlung der zu verwendenden
Diffie-Hellman-Verschlüsselung (DHE) ein Teil der Kommunikation nicht
signiert stattfindet. Der Client sendet zuerst eine Liste mit Vorschlägen
von Algorithmen, die für die Verschlüsselung verwendet werden können, an den
Server und dieser wählt einen Algorithmus aus der Liste aus. Die Verbindung
ist zu dem Zeitpunkt, zu dem der Client die Liste sendet, noch nicht
signiert. Durch einen Man-in-the-Middle-Angriff kann die Liste so verändert
werden, dass aus einem “ClientHello DHE” ein “ClientHello DHE_EXPORT” wird
und der Server eine DHE 512 Bit-Gruppe auswählt. Der Angreifer modifiziert
die Serverantwort entsprechend von “ServerHello DHE_EXPORT” zu “ServerHello
DHE”. Der Client bietet eine unsichere 512-Bit Gruppe im normalen Modus
nicht von sich aus an, akzeptiert diese aber, wenn sie vom Server
vorgeschlagen wird. Voraussetzung ist, dass auf dem Server der EXPORT-Modus
(DHE_EXPORT) aktiviert ist. Viele Server im Internet unterstützen für den
EXPORT-Modus die gleichen Gruppen, wodurch es möglich wird, einen Großteil
der für den Angriff notwendigen Berechnungen vorab zu erledigen.
Die Schwachstelle ist unter dem Namen Logjam bekannt.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0737/
“The Logjam Attack” – Publikation der Forschungsgruppe (Englisch):
https://weakdh.org/
21.5.15: Heise Newsticker Artikel – Logjam Attacke Verschluesselung von
zehntausenden Servern gefaehrdet:
http://www.heise.de/newsticker/meldung/Logjam-Attacke-Verschluesselung-von-zehntausenden-Servern-gefaehrdet-2657502.html
OpenSSL Blogeintrag bzgl. Logjam:
https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/
Schwachstelle CVE-2015-4000 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000
Citrix Security Advisory CTX201114:
http://support.citrix.com/article/CTX201114
F5 Networks Security Advisory sol16674:
http://support.f5.com/kb/en-us/solutions/public/16000/600/sol16674.html?ref=rss
Fedora Security Update FEDORA-2015-9016:
https://admin.fedoraproject.org/updates/FEDORA-2015-9016/filezilla-3.11.0.1-1.fc22
FileZilla Download-Webseite:
https://filezilla-project.org/
Fedora Security Update FEDORA-2015-9048:
https://admin.fedoraproject.org/updates/FEDORA-2015-9048/nss-3.19.1-1.0.fc22,nss-softokn-3.19.1-1.0.fc22,nss-util-3.19.1-1.0.fc22
Fedora Security Update FEDORA-2015-9161:
https://admin.fedoraproject.org/updates/FEDORA-2015-9161/nss-util-3.19.1-1.0.fc20,nss-3.19.1-1.0.fc20,nss-softokn-3.19.1-1.0.fc20
Fedora Security Updatesv FEDORA-2015-9130:
https://admin.fedoraproject.org/updates/FEDORA-2015-9130/nss-3.19.1-1.0.fc21,nss-softokn-3.19.1-1.0.fc21,nss-util-3.19.1-1.0.fc21
Juniper Security Bulletin JSA10681:
http://kb.juniper.net/index?page=content&id=JSA10681&actp=RSS
Fedora Security Update FEDORA-2015-9371:
https://admin.fedoraproject.org/updates/FEDORA-2015-9371/openssl-1.0.1e-43.fc20
Red Hat Security Advisory RHSA-2015:1072:
http://rhn.redhat.com/errata/RHSA-2015-1072.html
FreeBSD Security Advisory FreeBSD-EN-15%3A08.sendmail:
http://www.freebsd.org/security/advisories/FreeBSD-EN-15%3A08.sendmail.asc
Red Hat Security Advisory RHSA-2015:1185:
http://rhn.redhat.com/errata/RHSA-2015-1185.html
SUSE Security Update SUSE-SU-2015:1177-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151177-1.html
openSUSE Security Update openSUSE-SU-2015:1209-1:
http://lists.opensuse.org/opensuse-updates/2015-07/msg00016.html
HP Security Bulletin HPSBUX03363:
https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04725401
SUSE Security Update SUSE-SU-2015:1177-2:
https://www.suse.com/support/update/announcement/2015/suse-su-20151177-2.html
IBM Security Bulletin: Vulnerability in Diffie-Hellman ciphers may affect IBM
Java shipped with IBM Notes and Domino (CVE-2015-4000):
https://www-304.ibm.com/connections/blogs/PSIRT/entry/ibm_security_bulletin_vulnerability_in_diffie_hellman_ciphers_may_affect_ibm_java_shipped_with_ibm_notes_and_domino_cve_2015_4000?lang=en_us
SUSE Security Update SUSE-SU-2015:1482-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151482-1.html
SUSE Security Update SUSE-SU-2015:1526-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20151526-1.html
openSUSE Security Update openSUSE-SU-2016:0478-1:
http://lists.opensuse.org/opensuse-updates/2016-02/msg00094.html
openSUSE Security Update openSUSE-SU-2016:0483-1:
http://lists.opensuse.org/opensuse-updates/2016-02/msg00097.html
Juniper Security Bulletin JSA10681:
http://kb.juniper.net/index?page=content&id=JSA10681&actp=RSS
SUSE Security Update SUSE-SU-2016:0344-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160344-1.html
SUSE Security Update SUSE-SU-2016:1618-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-June/002127.html
SUSE Security Update SUSE-SU-2016:2209-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-August/002246.html
openSUSE Security Update openSUSE-SU-2016:2267-1:
http://lists.opensuse.org/opensuse-updates/2016-09/msg00034.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
