Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 14 (01.03.2016):
IBM informiert darüber, dass IBM Notes 9.0.1 Fix Pack 3 Interim Fix 2 bis
9.0.1 Fix Pack 5 von der SLOTH-Schwachstelle betroffen sind, IBM Notes 9.0
und IBM Notes 8.5.x dagegen nicht, da diese sich auf TLS 1.2 bezieht. IBM
stellt zur Behebung der Schwachstelle IBM Notes 9.0.1 Fixpack 5 IF 2 (für
Windows), IBM Notes 9.0.1 Fixpack 5 IF 1 (für Linux) und IBM Notes 64-bit
9.0.1 IF1 (für Mac 64-bit Plattform) als Sicherheitsupdate zur Verfügung.
Für Kunden mit IBM Notes 9.0.1 Fix Pack 4 und Interim Fixes oder IBM Notes
9.0.1 Fix Pack 3 Interim Fix 3 und später werden auf Basis entsprechender
Supportanfragen spezifische Hotfixes bereitgestellt.
Version 13 (29.02.2016):
Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates auf die
Bouncy Castle Version 1.54 zur Verfügung, welche die Schwachstelle
adressieren.
Version 12 (03.02.2016):
Das GnuTLS Projektteam empfiehlt mit dem Update von GNUTLS-SA-2015-2 ein
Upgrade auf GnuTLS 3.4.1 oder 3.3.15, um diese Schwachstelle zu beheben.
Version 11 (02.02.2016):
IBM informiert darüber, dass IBM Domino 9.0.1 Fix Pack 3 Interim Fix 2 bis
9.0.1 Fix Pack 5 von der SLOTH-Schwachstelle betroffen sind, IBM Domino
9.0 und IBM Domino 8.5.x dagegen nicht, da diese sich auf TLS 1.2 bezieht.
IBM stellt zur Behebung der Schwachstelle Domino 9.0.1 Fix Pack 5 Interim
Fix 1 als Sicherheitsupdate zur Verfügung. Für Kunden mit IBM Domino 9.0.1
Fix Pack 4 und Interim Fixes oder IBM Domino 9.0.1 Fix Pack 3 Interim Fix
3 und später werden auf Basis entsprechender Supportanfragen spezifische
Hotfixes bereitgestellt.
Version 10 (28.01.2016):
Für die Distributionen Debian Linux Wheezy (oldstable) und Jessie (stable)
stehen Sicherheitsupdates auf die Iceweasel Version 38.6.0 ESR zur
Verfügung, welche zusätzlich zur CVE-2015-7575 auch die beiden
Schwachstellen CVE-2016-1930 und CVE-2016-1935 adressieren, die von
Mozilla erst mit Firefox 44.0 bzw. Firefox 38.6.0 behoben wurden und
deshalb hier nicht aufgenommen sind.
Version 9 (25.01.2016):
F5 Networks untersucht derzeit noch seine Produkte hinsichtlich einer
etwaigen Verwundbarkeit, eine Bestätigung ist derzeit noch nicht
verfügbar. F5 Networks wird sein Security Advisory sol02201365
baldmöglichst mit entsprechender Information aktualisieren.
Version 8 (22.01.2016):
SUSE stellt für die SUSE Linux Enterprise 11 Produkte Software Development
Kit SP3 und SP4, Desktop SP3 und SP3, Sever SP3 und SP4 sowie Server for
VMWare SP3 Sicherheitsupdates für Mozilla NSS bereit.
Version 7 (19.01.2016):
Für die Distribution openSUSE13.2 steht ein Sicherheitsupdate für PolarSSL
und für openSUSE Leap 42.1 steht ein Sicherheitsupdate für mbed TLS auf
Version 1.3.16 zur Verfügung.
Version 6 (18.01.2016):
SUSE stellt für die SUSE Linux Enterprise Distributionen SDK 12 und 12
SP1, Desktop 12 und 12 SP1 sowie Server 12 und 12 SP1 Sicherheitsupdates
für mozilla-nss zur Verfügung.
Version 5 (11.01.2016):
Debian stellt für die Distribution Wheezy (oldstable) Sicherheitsupdates
für GnuTLS und OpenSSL zur Verfügung. Fedora stellt für Fedora EPEL 5 ein
Sicherheitsupdate für OpenSSL in Form des Paketes openssl101e-1.0.1e-6.el5
im Status ‘testing’ bereit. Und Canonical veröffentlicht für Ubuntu 12.04
LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates
für Firefox.
Version 4 (08.01.2016):
Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 15.04
werden Sicherheitsupdates für GnuTLS veröffentlicht.
Version 3 (08.01.2016):
Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04
LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates für die
NSS-Bibliothek bereit. Zusätzlich stellt Canonical für Ubuntu 12.04 LTS
ein aktualisiertes OpenSSL-Paket zur Verfügung, da in diesem die gleiche
MD5-Nutzungs-Problematik besteht.
Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop,
HPC Node, Server, Server EUS 6.7.z und Workstation Sicherheitsupdates für
die NSS-, OpenSSL- und GnuTLS-Pakete bereit, um die Schwachstelle zu
adressieren.
Version 2 (07.01.2016):
Mozilla veröffentlicht das Security Advisory MFSA2015-150 jetzt erneut und
gibt an, dass die Schwachstelle in den Versionen Firefox 43.0.2, Firefox
ESR 38.5.2 und NSS Version 3.20.2 behoben wurde.
Version 1 (04.01.2016):
Neues Advisory
Betroffene Software:
mbed TLS < 1.3.16
Bouncy Castle <= 1.53
Debian Iceweasel < 38.6.0 ESR
GNU GnuTLS
IBM Domino >= 9.0.1.3
IBM Domino <= 9.0.1.5
IBM Notes >= 9.0.1.3
IBM Notes <= 9.0.1.5
Mozilla Firefox < 43.0.2
Mozilla Firefox ESR <= 38.5.1
Mozilla Network Security Services <= 3.20.1
OpenSSL Project OpenSSL
PolarSSL
Betroffene Plattformen:
SUSE Linux Enterprise Software Development Kit 11 SP3
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12
SUSE Linux Enterprise Software Development Kit 12 SP1
Apple Mac OS X
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.2 Jessie
GNU/Linux
Google Android Operating System
IBM AIX
Microsoft Windows
openSUSE 13.1
openSUSE 13.2
openSUSE Leap 42.1
SUSE Linux Enterprise Desktop 11 SP3
SUSE Linux Enterprise Desktop 11 SP4
SUSE Linux Enterprise Desktop 12
SUSE Linux Enterprise Desktop 12 SP1
SUSE Linux Enterprise Server 11 SP3
SUSE Linux Enterprise Server 11 SP3 VMware
SUSE Linux Enterprise Server 11 SP4
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Server 12 SP1
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 6.7.z EUS
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Extra Packages for Red Hat Enterprise Linux 5
Eine Schwachstelle in den Mozilla Network Security Services (NSS) ermöglicht
einem entfernten, nicht authentifizierten Angreifer das Umgehen von
Sicherheitsvorkehrungen.
Für openSUSE 13.1, openSUSE 13.2 und openSUSE Leap 42.1 stehen
Sicherheitsupdates für Mozilla NSS auf Version 3.20.2 und Mozilla Firefox
auf Version 43.0.3 zur Verfügung.
Bitte beachten Sie: Zur Behebung der hier genannten Schwachstelle hat
Mozilla am 28. Dezember 2015 das Security Advisory MFSA2015-150
veröffentlicht, dieses aber kurze Zeit später, ohne Angaben von Gründen,
wieder zurückgezogen. Zeitgleich wurde die Firefox Version 43.0.3
bereitgestellt. Ob die hier genannte Schwachstelle in der Version also
tatsächlich behoben ist, ist unklar. In den Release Notes zur Firefox
Version 43.0.3 wird die Schwachstelle nicht genannt.
Patch:
GnuTLS Team Hersteller Advisories
http://www.gnutls.org/security.html
Patch:
Mozilla Foundation Security Advisory 2015-150
https://www.mozilla.org/en-US/security/advisories/mfsa2015-150/
Patch:
openSUSE Security Update openSUSE-SU-2015:2405-1
http://lists.opensuse.org/opensuse-updates/2015-12/msg00139.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0007-1
http://lists.opensuse.org/opensuse-updates/2016-01/msg00005.html
Patch:
Red Hat Security Advisory RHSA-2016:0007 (NSS)
http://rhn.redhat.com/errata/RHSA-2016-0007.html
Patch:
Red Hat Security Advisory RHSA-2016:0008 (OpenSSL)
http://rhn.redhat.com/errata/RHSA-2016-0008.html
Patch:
Red Hat Security Advisory RHSA-2016:0012 (GnuTLS)
http://rhn.redhat.com/errata/RHSA-2016-0012.html
Patch:
Ubuntu Security Notice USN-2863-1 (Ubuntu 12.04 LTS, OpenSSL)
http://www.ubuntu.com/usn/usn-2863-1/
Patch:
Ubuntu Security Notice USN-2864-1 (NSS)
http://www.ubuntu.com/usn/usn-2864-1/
Patch:
Ubuntu Security Notice USN-2865-1 (GnuTLS)
http://www.ubuntu.com/usn/usn-2865-1/
Patch:
Debian Security Advisory DSA-3436-1 (OpenSSL)
https://www.debian.org/security/2016/dsa-3436
Patch:
Debian Security Advisory DSA-3437-1 (GnuTLS)
https://www.debian.org/security/2016/dsa-3437
Patch:
Fedora Security Update FEDORA-EPEL-2016-7191918aa5 (Fedora EPEL 5, OpenSSL)
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7191918aa5
Patch:
Ubuntu Security Notice USN-2866-1 (Firefox)
http://www.ubuntu.com/usn/usn-2866-1/
Patch:
SUSE Security Update SUSE-SU-2016:0149-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160149-1.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0161-1 (PolarSSL)
http://lists.opensuse.org/opensuse-updates/2016-01/msg00058.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0162-1 (mbed TLS)
http://lists.opensuse.org/opensuse-updates/2016-01/msg00059.html
Patch:
SUSE Security Update SUSE-SU-2016:0189-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160189-1.html
Patch:
Debian Security Advisory DSA-3457-1
https://www.debian.org/security/2016/dsa-3457
Patch:
IBM Security Bulletin swg21974958
http://www-01.ibm.com/support/docview.wss?uid=swg21974958
Patch:
openSUSE Security Update openSUSE-SU-2016:0605-1
https://lists.opensuse.org/opensuse-updates/2016-02/msg00166.html
Patch:
IBM Security Bulletin swg21975290
https://www-304.ibm.com/support/docview.wss?uid=swg21975290
CVE-2015-7575: Schwachstelle in Network Security Services ermöglicht das
Umgehen von Sicherheitsvorkehrungen
Eine Schwachstelle in den Network Security Services (NSS) basiert auf der
Akzeptanz von MD5 als Hash-Algorithmus für Server-Signaturen innerhalb von
TLS 1.2 ServerKeyExchange Nachrichten. NSS hat MD5 eigentlich seit dem Jahr
2011 offiziell verboten, nur umgesetzt wurde es nicht vollständig. Damit
werden NSS-basierte Client-Anwendungen wie z.B. Firefox anfällig für
Fälschungsangriffe, die durch Kollisionen verursacht sind.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0001/
GnuTLS Team Hersteller Advisories:
http://www.gnutls.org/security.html
Mozilla Firefox Update Seite:
https://www.mozilla.org/de/firefox/new/
Mozilla Foundation Security Advisory 2015-150:
https://www.mozilla.org/en-US/security/advisories/mfsa2015-150/
Schwachstelle CVE-2015-7575 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7575
openSUSE Security Update openSUSE-SU-2015:2405-1:
http://lists.opensuse.org/opensuse-updates/2015-12/msg00139.html
openSUSE Security Update openSUSE-SU-2016:0007-1:
http://lists.opensuse.org/opensuse-updates/2016-01/msg00005.html
Mozilla Firefox Release Notes 43.0.3:
https://www.mozilla.org/en-US/firefox/43.0.3/releasenotes/
Red Hat Security Advisory RHSA-2016:0007 (NSS):
http://rhn.redhat.com/errata/RHSA-2016-0007.html
Red Hat Security Advisory RHSA-2016:0008 (OpenSSL):
http://rhn.redhat.com/errata/RHSA-2016-0008.html
Red Hat Security Advisory RHSA-2016:0012 (GnuTLS):
http://rhn.redhat.com/errata/RHSA-2016-0012.html
Ubuntu Security Notice USN-2863-1 (Ubuntu 12.04 LTS, OpenSSL):
http://www.ubuntu.com/usn/usn-2863-1/
Ubuntu Security Notice USN-2864-1 (NSS):
http://www.ubuntu.com/usn/usn-2864-1/
Ubuntu Security Notice USN-2865-1 (GnuTLS):
http://www.ubuntu.com/usn/usn-2865-1/
Debian Security Advisory DSA-3436-1 (OpenSSL):
https://www.debian.org/security/2016/dsa-3436
Debian Security Advisory DSA-3437-1 (GnuTLS):
https://www.debian.org/security/2016/dsa-3437
Fedora Security Update FEDORA-EPEL-2016-7191918aa5 (Fedora EPEL 5, OpenSSL):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2016-7191918aa5
Ubuntu Security Notice USN-2866-1 (Firefox):
http://www.ubuntu.com/usn/usn-2866-1/
SUSE Security Update SUSE-SU-2016:0149-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160149-1.html
openSUSE Security Update openSUSE-SU-2016:0161-1 (PolarSSL):
http://lists.opensuse.org/opensuse-updates/2016-01/msg00058.html
openSUSE Security Update openSUSE-SU-2016:0162-1 (mbed TLS):
http://lists.opensuse.org/opensuse-updates/2016-01/msg00059.html
SUSE Security Update SUSE-SU-2016:0189-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160189-1.html
F5 Networks Security Advisory sol02201365:
http://support.f5.com/kb/en-us/solutions/public/k/02/sol02201365.html?ref=rss
Debian Security Advisory DSA-3457-1:
https://www.debian.org/security/2016/dsa-3457
IBM Security Bulletin swg21974958:
http://www-01.ibm.com/support/docview.wss?uid=swg21974958
openSUSE Security Update openSUSE-SU-2016:0605-1:
https://lists.opensuse.org/opensuse-updates/2016-02/msg00166.html
IBM Security Bulletin swg21975290:
https://www-304.ibm.com/support/docview.wss?uid=swg21975290
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
