Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (01.06.2016):
Für openSUSE 13.2 steht ein Sicherheitsupdate auf VirtualBox 5.0.20
bereit, wodurch die Schwachstelle CVE-2016-0678 behoben wird.
Version 2 (01.06.2016):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate auf VirtualBox 5.0.18
bereit, wodurch die Schwachstelle CVE-2016-0678 behoben wird.
Version 1 (20.04.2016):
Neues Advisory

Betroffene Software:

Oracle VM VirtualBox < 4.3.36 Oracle VM VirtualBox < 5.0.14 Oracle VM VirtualBox < 5.0.16 Oracle VM VirtualBox < 5.0.18 Sun Ray Server Software 11.1 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows openSUSE 13.2 openSUSE Leap 42.1 Oracle Solaris Zwei Schwachstellen in Oracle VM VirtualBox und Sun Ray Software ermöglichen einem entfernten, nicht authentisierten Angreifer Informationen auszuspähen und einen Denial-of-Service-Angriff durchzuführen. Ein lokaler, authentisierter Angreifer kann unter Beteiligung eines Benutzers eine VM übernehmen. Patch: Oracle Critical Patch Update Advisory - April 2016 (CPUApr2016) http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml

Patch:

openSUSE Security Update openSUSE-SU-2016:1451-1

http://lists.opensuse.org/opensuse-updates/2016-05/msg00130.html

Patch:

openSUSE Security Update openSUSE-SU-2016:1462-1

https://lists.opensuse.org/opensuse-updates/2016-06/msg00002.html

CVE-2016-0678: Schwachstelle in Oracle VM VirtualBox ermöglicht das Erlangen
von Administratorrechten

In der Oracle VM VirtualBox Komponente vor Version 5.0.18 der Subkomponente
Core der Oracle Virtualisierung existiert eine nicht näher beschriebene
Schwachstelle. Ein lokaler, authentisierter Angreifer, der Zugriff auf das
zugrunde liegende Betriebssystem hat, kann die Schwachstelle ausnutzen, um
Administratorrechte in der VM zu erlangen und diese damit zu übernehmen. Für
die Ausnutzung der Schwachstelle ist eine zusätzliche, nicht weiter
spezifizierte Benutzerinteraktion notwendig.

CVE-2015-3197: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in OpenSSL ermöglicht einem bösartigen Client die
Verhandlung von SSLv2-Chiffren, obwohl diese auf dem Server abgeschaltet
wurden, und die Vollendung der SSLv2-Protokolleinleitung, selbst bei
Abschaltung der SSLv2-Chiffren, solange das SSLv2-Protokoll nicht über
SSL_OP_NO_SSLv2 ebenfalls abgeschaltet wurde. Ein entfernter, nicht
authentisierter Angreifer in einer Man-in-the-Middle-Position kann
Sicherheitsvorkehrungen umgehen.

Oracle nennt diese Schwachstelle im Zusammenhang mit verschiedenen eigenen
Produkten und gibt an, dass die Schwachstelle in diesen für den unerlaubten
Lesezugriff auf über die betroffenen Oracle Produkte erreichbare Dateien
verwendet werden kann.

CVE-2015-3195: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

In OpenSSL existiert eine Schwachstelle bei der Verarbeitung von fehlerhaft
gebildeten X509_ATTRIBUTE Strukturen, wodurch es zu einem Speicherleck
(memory leak) kommt. Derartige Strukturen werden von den PKCS#7 und CMS
Routinen verwendet und somit sind alle Anwendungen davon betroffen, die
PKCS#7 oder CMS Daten aus nicht vertrauenswürdigen Quellen lesen. SSL/TLS
ist nicht betroffen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um CMS Daten oder andere sensible
Informationen auszuspähen. Diese Schwachstelle betrifft OpenSSL Versionen
1.0.2 und 1.0.1, 1.0.0 und 0.9.8.

Oracle nennt diese Schwachstelle in Zusammenhang mit verschiedenen eigenen
Produkten, wie beispielsweise den Oracle Fusion Middleware Komponenten ‘API
Gateway’ und ‘Exalogic Infrastructure’ sowie Oracle Virtualization und gibt
an, dass bei diesen eine Verwundbarkeit gegenüber
Denial-of-Service-Angriffen besteht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0647/

Schwachstelle CVE-2015-3195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3195

Schwachstelle CVE-2015-3197 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3197

Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016):
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml

Schwachstelle CVE-2016-0678 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0678

openSUSE Security Update openSUSE-SU-2016:1451-1:
http://lists.opensuse.org/opensuse-updates/2016-05/msg00130.html

openSUSE Security Update openSUSE-SU-2016:1462-1:
https://lists.opensuse.org/opensuse-updates/2016-06/msg00002.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (01.06.2016):
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate auf VirtualBox 5.0.18
bereit, wodurch die Schwachstelle CVE-2016-0678 behoben wird.
Version 1 (20.04.2016):
Neues Advisory

Betroffene Software:

Oracle VM VirtualBox < 4.3.36 Oracle VM VirtualBox < 5.0.14 Oracle VM VirtualBox < 5.0.16 Oracle VM VirtualBox < 5.0.18 Sun Ray Server Software 11.1 Betroffene Plattformen: Apple Mac OS GNU/Linux Microsoft Windows openSUSE Leap 42.1 Oracle Solaris Zwei Schwachstellen in Oracle VM VirtualBox und Sun Ray Software ermöglichen einem entfernten, nicht authentisierten Angreifer Informationen auszuspähen und einen Denial-of-Service-Angriff durchzuführen. Ein lokaler, authentisierter Angreifer kann unter Beteiligung eines Benutzers eine VM übernehmen. Patch: Oracle Critical Patch Update Advisory - April 2016 (CPUApr2016) http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml

Patch:

openSUSE Security Advisory openSUSE-SU-2016:1451-1

http://lists.opensuse.org/opensuse-updates/2016-05/msg00130.html

CVE-2016-0678: Schwachstelle in Oracle VM VirtualBox ermöglicht das Erlangen
von Administratorrechten

In der Oracle VM VirtualBox Komponente vor Version 5.0.18 der Subkomponente
Core der Oracle Virtualisierung existiert eine nicht näher beschriebene
Schwachstelle. Ein lokaler, authentisierter Angreifer, der Zugriff auf das
zugrunde liegende Betriebssystem hat, kann die Schwachstelle ausnutzen, um
Administratorrechte in der VM zu erlangen und diese damit zu übernehmen. Für
die Ausnutzung der Schwachstelle ist eine zusätzliche, nicht weiter
spezifizierte Benutzerinteraktion notwendig.

CVE-2015-3197: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

Eine Schwachstelle in OpenSSL ermöglicht einem bösartigen Client die
Verhandlung von SSLv2-Chiffren, obwohl diese auf dem Server abgeschaltet
wurden, und die Vollendung der SSLv2-Protokolleinleitung, selbst bei
Abschaltung der SSLv2-Chiffren, solange das SSLv2-Protokoll nicht über
SSL_OP_NO_SSLv2 ebenfalls abgeschaltet wurde. Ein entfernter, nicht
authentisierter Angreifer in einer Man-in-the-Middle-Position kann
Sicherheitsvorkehrungen umgehen.

Oracle nennt diese Schwachstelle im Zusammenhang mit verschiedenen eigenen
Produkten und gibt an, dass die Schwachstelle in diesen für den unerlaubten
Lesezugriff auf über die betroffenen Oracle Produkte erreichbare Dateien
verwendet werden kann.

CVE-2015-3195: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

In OpenSSL existiert eine Schwachstelle bei der Verarbeitung von fehlerhaft
gebildeten X509_ATTRIBUTE Strukturen, wodurch es zu einem Speicherleck
(memory leak) kommt. Derartige Strukturen werden von den PKCS#7 und CMS
Routinen verwendet und somit sind alle Anwendungen davon betroffen, die
PKCS#7 oder CMS Daten aus nicht vertrauenswürdigen Quellen lesen. SSL/TLS
ist nicht betroffen. Ein entfernter, nicht authentisierter Angreifer kann
diese Schwachstelle ausnutzen, um CMS Daten oder andere sensible
Informationen auszuspähen. Diese Schwachstelle betrifft OpenSSL Versionen
1.0.2 und 1.0.1, 1.0.0 und 0.9.8.

Oracle nennt diese Schwachstelle in Zusammenhang mit verschiedenen eigenen
Produkten, wie beispielsweise den Oracle Fusion Middleware Komponenten ‘API
Gateway’ und ‘Exalogic Infrastructure’ sowie Oracle Virtualization und gibt
an, dass bei diesen eine Verwundbarkeit gegenüber
Denial-of-Service-Angriffen besteht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0647/

Schwachstelle CVE-2015-3195 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3195

Schwachstelle CVE-2015-3197 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3197

Oracle Critical Patch Update Advisory – April 2016 (CPUApr2016):
http://www.oracle.com/ocom/groups/public/@otn/documents/webcontent/2948264.xml

Schwachstelle CVE-2016-0678 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-0678

openSUSE Security Advisory openSUSE-SU-2016:1451-1:
http://lists.opensuse.org/opensuse-updates/2016-05/msg00130.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.