Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 5 (23.12.2015):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für compat-openssl098
bereit.
Version 4 (23.12.2015):
SUSE stellt für SUSE Linux Enterprise Module for Legacy Software 12,
Desktop 12 und Desktop 12 SP1 Sicherheitsupdates zur Verfügung.
Version 3 (16.12.2015):
SUSE stellt für SUSE Linux Enterprise Software Development Kit 11 SP3 und
SP4, Server 11 SP2 LTSS, SP3 und SP4, Server for VMWare 11 SP3, Desktop 11
SP3 und SP4 sowie SUSE Studio Onsite 1.3 Sicherheitsupdates zur Verfügung.
Version 2 (14.12.2015):
Für die Red Hat Enterprise Linux 5 Varianten Desktop Workstation Client,
Desktop Client und Server stehen Sicherheitsupdates bereit.
Version 1 (11.12.2015):
Neues Advisory
Betroffene Software:
OpenSSL Project OpenSSL
Betroffene Plattformen:
SUSE Linux Enterprise Module for Legacy Software 12
SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Studio Onsite 1.3
openSUSE Leap 42.1
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 11 SP4
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Server 11 SP2 LTSS
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 11 SP4
Red Hat Enterprise Linux Desktop 5 Client
Red Hat Enterprise Linux Desktop 5 Workstation/Client
Red Hat Enterprise Linux Server 5
Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle
ausnutzen, um Zugriff auf potentiell sensible Informationen zur erlangen.
Für SUSE Linux Enterprise Desktop 11 SP3 und SP4 stehen Sicherheitsupdates
für compat-openssl097g bereit, die diese Schwachstelle adressieren.
Patch:
SUSE Security Update SUSE-SU-2015:2251-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152251-1.html
Patch:
Red Hat Security Advisory RHSA-2015:2616
http://rhn.redhat.com/errata/RHSA-2015-2616.html
Patch:
SUSE Security Update SUSE-SU-2015:2275-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152275-1.html
Patch:
SUSE Security Update SUSE-SU-2015:2342-1
https://www.suse.com/support/update/announcement/2015/suse-su-20152342-1.html
Patch:
openSUSE Security Update openSUSE-SU-2015:2349-1
http://lists.opensuse.org/opensuse-updates/2015-12/msg00103.html
CVE-2015-3195: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen
In OpenSSL existiert eine Schwachstelle bei der Verarbeitung von fehlerhaft
gebildeten X509_ATTRIBUTE Strukturen, wodurch es zu einem Speicherleck
(memory leak) kommt. Derartige Strukturen werden von den PKCS#7 und CMS
Routinen verwendet und somit sind alle Anwendungen davon betroffen, die
PKCS#7 oder CMS Daten aus nicht vertrauenswürdigen Quellen lesen. SSL/TLS
ist nicht betroffen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um CMS Daten oder andere sensible
Informationen auszuspähen. Diese Schwachstelle betrifft OpenSSL Versionen
1.0.2 und 1.0.1, 1.0.0 und 0.9.8.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1916/
Schwachstelle CVE-2015-3195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3195
SUSE Security Update SUSE-SU-2015:2251-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152251-1.html
Red Hat Security Advisory RHSA-2015:2616:
http://rhn.redhat.com/errata/RHSA-2015-2616.html
SUSE Security Update SUSE-SU-2015:2275-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152275-1.html
SUSE Security Update SUSE-SU-2015:2342-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20152342-1.html
openSUSE Security Update openSUSE-SU-2015:2349-1:
http://lists.opensuse.org/opensuse-updates/2015-12/msg00103.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
