Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (22.02.2017):
Für Oracle VM 3.4 (x86_64) und Oracle VM 3.3 (x86_64) stehen
Sicherheitsupdates für den ‘Unbreakable Enterprise Kernel’ bereit.
Version 2 (21.02.2017):
Für Oracle Linux 6 (i386, x86_64) und Oracle Linux 7 (x86_64) stehen
Sicherheitsupdates zur Behebung der Schwachstellen bereit.
Version 1 (20.02.2017):
Neues Advisory
Betroffene Software:
OpenSSL Project OpenSSL
Betroffene Plattformen:
Oracle Linux 6
Oracle Linux 7
Oracle VM Server 3.3
Oracle VM Server 3.4
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 6
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 6
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Server 7.3 TUS
Red Hat Enterprise Linux Workstation 6
Red Hat Enterprise Linux Workstation 7
Zwei Schwachstellen in OpenSSL, wie unter anderem verwendet in Red Hat
Enterprise Linux, ermöglichen einem entfernten, nicht authentisierten
Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.
Für Red Hat Enterprise Linux 6 und 7 in den Produktvarianten Desktop, HPC
Node, Server und Workstation sowie Red Hat Enterprise Linux Server TUS 7.3
stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.
Patch:
Red Hat Security Advisory RHSA-2017:0286
http://rhn.redhat.com/errata/RHSA-2017-0286.html
Patch:
Oracle Linux Security Advisory ELSA-2017-0286
https://linux.oracle.com/errata/ELSA-2017-0286.html
Patch:
Oracle VM Security Advisory OVMSA-2017-0042 (Oracle VM 3.3)
https://oss.oracle.com/pipermail/oraclevm-errata/2017-February/000651.html
Patch:
Oracle VM Security Advisory OVMSA-2017-0042 (Oracle VM 3.4)
https://oss.oracle.com/pipermail/oraclevm-errata/2017-February/000650.html
CVE-2017-3731: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Wenn ein Server oder Client, welcher SSL/TLS unterstützt, auf einem 32-Bit
Host läuft und spezifische Chiffren verwendet werden, kann ein
abgeschnittenes Paket dazu führen, dass dieser Server oder Client außerhalb
von Speichergrenzen liest (Out-of-bounds Read), wodurch es normalerweise zu
einem Absturz kommt. Für OpenSSL 1.1.0 bevor 1.1.0d kann dieses durch
Verwendung von ‘CHACHA20/POLY1305’ ausgelöst werden, für Openssl 1.0.2 bevor
1.0.2k durch ‘RC4-MD5’, falls dessen Verwendung nicht deaktiviert wurde. Ein
entfernter, nicht authentisierter Angreifer kann diese Schwachstelle
ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.
CVE-2016-8610: Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff
Durch die fehlerhafte Behandlung von Warnpaketen in OpenSSL kann es zur
exzessiven Verwendung von CPU-Ressourcen kommen. Diese Schwachstelle ist
unter dem Namen ‘SSL-Death-Alert’ bekannt. Ein entfernter, nicht
authentifizierter Angreifer kann durch wiederholtes Versenden speziell
präparierter ‘SSL3_AL_WARNING’-Pakete während des Handshakes den
OpenSSL-Server in eine Schleife zwingen und dadurch einen Denial-of-Service
(DoS)-Zustand auslösen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0307/
Schwachstelle CVE-2016-8610 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8610
Schwachstelle CVE-2017-3731 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3731
Red Hat Security Advisory RHSA-2017:0286:
http://rhn.redhat.com/errata/RHSA-2017-0286.html
Oracle Linux Security Advisory ELSA-2017-0286:
https://linux.oracle.com/errata/ELSA-2017-0286.html
Oracle VM Security Advisory OVMSA-2017-0042 (Oracle VM 3.3):
https://oss.oracle.com/pipermail/oraclevm-errata/2017-February/000651.html
Oracle VM Security Advisory OVMSA-2017-0042 (Oracle VM 3.4):
https://oss.oracle.com/pipermail/oraclevm-errata/2017-February/000650.html
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
