UPDATE: DFN-CERT-2017-2141 Erlang/OTP: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2017-2141 Erlang/OTP: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (08.12.2017):
Für die alte stabile Distribution Debian Jessie und die aktuelle stabile
Distribution Debian Stretch stehen Sicherheitsupdates für ‘erlang’ zur
Verfügung.
Version 1 (29.11.2017):
Neues Advisory

Betroffene Software:

Erlang/OTP < 18.3.4.7 Erlang/OTP < 19.3.6.4 Erlang/OTP < 20.1.7 Betroffene Plattformen: Debian Linux 8.9 Jessie Debian Linux 9.2 Stretch Red Hat Fedora 26 Red Hat Fedora 27 Eine Schwachstelle in Erlang/OTP ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und dadurch das Ausspähen verschlüsselter Kommunikation im Klartext. Das Ericsson Computer Science Laboratory stellt Sicherheitsupdates für Erlang/OTP für den Versionszweig 18 auf Version 18.3.4.7, für den Versionszweig 19 auf Version 19.3.6.4 und für den Versionszweig 20 auf Version 20.1.7 zur Behebung der Schwachstelle zur Verfügung. Das Fedora-Project stellt Sicherheitsupdates für die Distributionen Fedora 26 und 27 für das Paket 'erlang' auf Version 19.3.6.4 im Status 'testing' zur Verfügung. Patch: Fedora Security Update FEDORA-2017-93b6236635 (Fedora 26, erlang-19.3.6.4-1.fc26) https://bodhi.fedoraproject.org/updates/FEDORA-2017-93b6236635

Patch:

Fedora Security Update FEDORA-2017-9e6df1e099 (Fedora 27,
erlang-19.3.6.4-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9e6df1e099

Patch:

Erlang/OTP Releases

https://github.com/erlang/otp/releases

Patch:

Debian Security Advisory DSA-4057-1

https://www.debian.org/security/2017/dsa-4057

CVE-2017-1000385: Schwachstelle in Erlang/OTP ermöglicht Umgehen von
Sicherheitsvorkehrungen

Ein Erlang TLS-Server mit Verschlüsselungssuiten, welche den
RSA-Schlüsselaustausch nutzen, ist verwundbar gegenüber einem
Bleichenbacher-Chosen-Ciphertext-Angriff, wodurch die verschlüsselte
Kommunikation von einem Angreifer entschlüsselt werden kann. Der Angreifer
erhält durch diesen Angriff nicht den Privaten Schlüssel des Servers, kann
die Schwachstelle aber nutzen, um einen Man-in-the-Middle (MitM)-Angriff
auszuführen, um Informationen auszuspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2141/

Fedora Security Update FEDORA-2017-93b6236635 (Fedora 26,
erlang-19.3.6.4-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-93b6236635

Fedora Security Update FEDORA-2017-9e6df1e099 (Fedora 27,
erlang-19.3.6.4-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9e6df1e099

Erlang/OTP 19.3.6.4 Release Notes (Schwachstellenbeschreibung):
https://github.com/erlang/otp/commit/4877ca714b473501c647eb24608bb6d28f80027a

Erlang/OTP Releases:
https://github.com/erlang/otp/releases

Schwachstelle CVE-2017-1000385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000385

Debian Security Advisory DSA-4057-1:
https://www.debian.org/security/2017/dsa-4057

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben