Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (13.07.2015):
Cisco informiert darüber, dass die Betroffenheit der Cisco Produkte von
der Schwachstelle derzeit untersucht wird. Die Ergebnisse werden auf der
referenzierten Hersteller-Seite veröffentlicht.
Version 2 (10.07.2015):
FreeBSD veröffentlicht ein Sicherheitsupdate für die Versionen
10.1-STABLE, die nach dem 11.Juni 2015 und vor dem 09.Juli 2015 erstellt
worden sind, da nur diese von der Schwachstelle betroffen sind. In allen
anderen derzeit unterstützten FreeBSD Versionen ist das problematische
Feature nicht aktiviert.
Version 1 (09.07.2015):
Neues Advisory
Betroffene Software:
OpenSSL Project OpenSSL 1.0.1n
OpenSSL Project OpenSSL 1.0.1o
OpenSSL Project OpenSSL 1.0.2b
OpenSSL Project OpenSSL 1.0.2c
Betroffene Plattformen:
Apple Mac OS X
Unix Unix
FreeBSD 10.1-STABLE
GNU/Linux
Microsoft Windows
Eine Schwachstelle in OpenSSL ermöglicht bestimmte Sicherheitsmechanismen zu
umgehen, welche die Ausstellung und Verwendung von ungültigen Zertifikaten
verhindern sollen. Ein entfernter, nicht authentisierter Angreifer kann
dadurch einen sogenannten Alternative Chains Certificate Forgery
durchführen, wodurch weitere nicht näher spezifizierte Angriffe möglich
werden.
Für OpenSSL 1.0.2b/1.0.2c wird ein Sicherheitsupdate auf Version 1.0.2d, für
OpenSSL 1.0.1n/1.0.1o auf Version 1.0.1p zur Verfügung gestellt. Die OpenSSL
Versionen 1.0.0 und 0.9.8 gelten als nicht betroffen, da diese keine
alternativen Ketten unterstützen.
Patch:
OpenSSL Security Advisory 20150709
https://www.openssl.org/news/secadv_20150709.txt
Patch:
FreeBSD Security Advisory FreeBSD-SA-15:12.openssl
http://www.freebsd.org/security/advisories/FreeBSD-SA-15%3A12.openssl.asc
CVE-2015-1793: Schwachstelle in OpenSSL erlaubt Umgehen von
Sicherheitsvorkehrungen
Eine Schwachstelle in OpenSSL 1.0.1n und 1.0.2b tritt bei der Überprüfung
von Zertifikatsketten auf. Wenn der erste Versuch eine Kette aufzubauen
scheitert, wird versucht eine alternative Kette zu finden. Ein Fehler in der
Implementierung der betreffend Logik kann dazu führen, dass bestimmte
Prüfungen auf nicht vertrauenswürdige Zertifikate dabei übergangen werden
können, z.B. die Überprüfung des CA Flags. Dadurch ist es möglich, ein
gültiges End-Entitiy-Zertifikat (“leaf certificate”), für welches das CA
Flag “false” gesetzt ist, dennoch als CA zu verwenden, um ein ungültiges
Zertifikat auszustellen. Diese Schwachstelle betrifft alle Anwendungen, die
Zertifikate verifizieren, inklusive SSL/TLS/DTLS-Clients und
SSL/TLS/DTLS-Server, die Client-Authentication verwenden.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1011/
OpenSSL Security Advisory 20150709:
https://www.openssl.org/news/secadv_20150709.txt
Schwachstelle CVE-2015-1793 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1793
FreeBSD Security Advisory FreeBSD-SA-15:12.openssl:
http://www.freebsd.org/security/advisories/FreeBSD-SA-15%3A12.openssl.asc
Cisco Security Advisory cisco-sa-20150710-openssl:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150710-openssl/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
