UPDATE: DFN-CERT-2015-0943 Crypto++ Bibliothek: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2015-0943 Crypto++ Bibliothek: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (21.07.2015):
Für openSUSE 13.2 und openSUSE 13.1 stehen Sicherheitsupdates zur
Verfügung.
Version 2 (30.06.2015):
Für die Distributionen Fedora 21 und Fedora 22 sowie für EPEL 6 und EPEL 7
stehen Sicherheitsupdates auf die Version 5.6.2 im Status ‘testing’
bereit.
Version 1 (29.06.2015):
Neues Advisory

Betroffene Software:

Crypto++ Library <= 5.6.1 Betroffene Plattformen: Debian Linux 7.8 Wheezy Debian Linux 8.1 Jessie Debian Linux 9.0 Stretch openSUSE 13.1 openSUSE 13.2 Red Hat Fedora 21 Red Hat Fedora 22 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Durch das Ausnutzen einer Schwachstelle in libcrypto++ kann ein entfernter, nicht authentisierter Angreifer einen privaten Signatur-Schlüssel ausspähen. Für die Linux-Distributionen Debian Wheey (7.8), Jessie (8.1) und Stretch (9.0) werden Sicherheitsupdates zur Verfügung gestellt. Patch: Debian Security Advisory DSA-3296-1 https://www.debian.org/security/2015/dsa-3296

Patch:

Fedora Security Update FEDORA-2015-10911

https://admin.fedoraproject.org/updates/FEDORA-2015-10911/cryptopp-5.6.2-9.fc21

Patch:

Fedora Security Update FEDORA-2015-10914

https://admin.fedoraproject.org/updates/FEDORA-2015-10914/cryptopp-5.6.2-9.fc22

Patch:

Fedora Security Update FEDORA-EPEL-2015-6968

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6968/cryptopp-5.6.2-9.el6

Patch:

Fedora Security Update FEDORA-EPEL-2015-6975

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6975/cryptopp-5.6.2-9.el7

Patch:

openSUSE Security Update openSUSE-SU-2015:1271-1

http://lists.opensuse.org/opensuse-updates/2015-07/msg00047.html

CVE-2015-2141: Schwachstelle in Crypto++ erlaubt das Ausspähen von
Informationen

Eine Schwachstelle in libcrypto++, einer universell verwendbaren C++
Kryptographie-Bibliothek, besteht darin, dass in dieser das Maskieren von
Private Key-Operationen für den Rabin-Williams Signatur-Algorithmus nicht
korrekt implementiert wurde. Hierdurch ist es möglich, einen Timing-Angriff
durchzuführen und den privaten Schlüssel des Benutzers zu erlangen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0943/

Debian Security Advisory DSA-3296-1:
https://www.debian.org/security/2015/dsa-3296

Schwachstelle CVE-2015-2141 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2141

Fedora Security Update FEDORA-2015-10911:
https://admin.fedoraproject.org/updates/FEDORA-2015-10911/cryptopp-5.6.2-9.fc21

Fedora Security Update FEDORA-2015-10914:
https://admin.fedoraproject.org/updates/FEDORA-2015-10914/cryptopp-5.6.2-9.fc22

Fedora Security Update FEDORA-EPEL-2015-6968:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6968/cryptopp-5.6.2-9.el6

Fedora Security Update FEDORA-EPEL-2015-6975:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2015-6975/cryptopp-5.6.2-9.el7

openSUSE Security Update openSUSE-SU-2015:1271-1:
http://lists.opensuse.org/opensuse-updates/2015-07/msg00047.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben