Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 5 (20.12.2017):
Das Tor Project informiert über die Verfügbarkeit der experimentellen Tor
Browser Version 7.5a10, die ein Update auf die OpenSSL Version 1.0.2n
umfasst, mittels der die hier aufgeführten Schwachstellen behoben werden.
Zusätzlich wird die vom Tor Browser genutzte Tor Version auf den Release
Kandidaten 0.3.2.7-rc aktualisiert und eine Reihe weiterer
Fehlerkorrekturen umgesetzt.
Version 4 (18.12.2017):
Es stehen verschiedene neue Backport-Sicherheitsupdates zur Behebung der
Schwachstellen in OpenSSL bereit. Debian veröffentlicht ein solches Update
für Debian Stretch (stable). SUSE stellt für die SUSE Linux Enterprise
Produkte Desktop, Server und Software Development Kit 12 SP2 und SP3 sowie
für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 und die
Cloud-Produkte SUSE Container as a Service Platform ALL und OpenStack
Cloud Magnum Orchestration 7 ein Sicherheitsupdate bereit. Für openSUSE
Leap 42.2 und 42.3 wird das entsprechende Sicherheitsupdate aus dem
SUSE:SLE-12-SP2:Update-Projekt importiert.
Version 3 (12.12.2017):
Für Ubuntu 17.10, 17.04 und 16.04 LTS stehen Sicherheitsupdates für
OpenSSL zur Behebung der Schwachstellen zur Verfügung.
Version 2 (11.12.2017):
Alle Distributionen von FreeBSD sind von der Schwachstelle betroffen.
FreeBSD stellt für die Distributionen 11.1-STABLE, 11.1-RELEASE-p6,
10.4-STABLE, 10.4-RELEASE-p5 und 10.3-RELEASE-p26 Sicherheitsupdates für
‘openssl’ zur Behebung der Schwachstellen zur Verfügung. Zusätzlich stehen
Quellcode-Patches zur Verfügung.
Version 1 (08.12.2017):
Neues Advisory

Betroffene Software:

OpenSSL Project OpenSSL < 1.0.2n OpenSSL Project OpenSSL <= 1.1.0g Betroffene Plattformen: SUSE Container-as-a-Service-(CaaS)-Plattform ALL SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 SUSE OpenStack Cloud 7 Tor Browser < 7.5a10 Apple macOS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Canonical Ubuntu Linux 17.10 Debian Linux 9.3 Stretch FreeBSD 10.3-RELEASE-p26 FreeBSD 10.4-RELEASE-p5 FreeBSD 10.4-STABLE FreeBSD 11.1-RELEASE-p6 FreeBSD 11.1-STABLE GNU/Linux HP-UX Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Desktop 12 SP3 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Oracle Solaris Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in OpenSSL ausnutzen, um Informationen auszuspähen. Der Hersteller hat für OpenSSL 1.0.2 die Version 1.0.2n als Sicherheitsupdate zur Verfügung gestellt. Für OpenSSL 1.1.0, das nur von der Schwachstelle CVE-2017-3738 betroffen ist, hat der Hersteller aufgrund des niedrigen Gefährdungspotentials noch kein Sicherheitsupdate bereit gestellt, sondern pflegt dieses in die kommende Version 1.1.0h ein. Über das OpenSSL Git-Repository steht aber bereits ein Patch zur Verfügung. Patch: OpenSSL Git Commit zur Behebung von CVE-2017-3738 https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=e502cc86df9dafded1694fceb3228ee34d11c11a

Patch:

OpenSSL Security Advisory 20171207

https://www.openssl.org/news/secadv/20171207.txt

Patch:

FreeBSD Security Advisory FreeBSD-SA-17:12.openssl

http://www.freebsd.org/security/advisories/FreeBSD-SA-17%3A12.openssl.asc

Patch:

Ubuntu Security Notice USN-3512-1

http://www.ubuntu.com/usn/usn-3512-1/

Patch:

Debian Security Advisory DSA-4065-1

https://www.debian.org/security/2017/dsa-4065

Patch:

SUSE Security Update SUSE-SU-2017:3343-1

http://lists.suse.com/pipermail/sle-security-updates/2017-December/003538.html

Patch:

openSUSE Security Update openSUSE-SU-2017:3345-1

http://lists.opensuse.org/opensuse-updates/2017-12/msg00061.html

Patch:

Tor Browser 7.5a10 Release Notes

https://blog.torproject.org/tor-browser-75a10-released

CVE-2017-3738: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

Die zur Potenzierung von 1024-Bit Feldern verwendete ‘AVX2 Montgomery
Mltiplication’ Prozedur enthält eine Puffer-Überlauf-Schwachstelle (Overflow
Bug), die zu Angriffen gegen DH1024 (Diffie Hellman) ausgenutzt werden kann.
Elliptic-Curve-Algorithmen sind nicht gefährdet und Angriffe gegen RSA und
DSA wären mit unverhältnismäßig großem Aufwand verbunden. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, dadurch
private Schlüssel ermitteln und in der Folge Informationen ausspähen. Die
Schwachstelle betrifft Prozessoren die über den erweiterten Befehlssatz AVX2
verfügen, wie z.B. Intel Haswell.

CVE-2017-3737: Schwachstelle in OpenSSL ermöglicht Umgehung von
Sicherheitsvorkehrungen

OpenSSL enthält eine Schwachstelle, die auf einer fehlerhaften
Implementierung der ‘error state’ Prozedur in den Funktionen ‘SSL_read’ und
‘SSL_write’ beruht. In der Folge werden Informationen am ‘SSL/TLS
record-layer’ u.a. nicht mehr verschlüsselt, sofern eine fehlerhafte
Software diese Funktionen nach Auftreten eines Fehlers erneut aufruft. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen
und dadurch beispielsweise Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2216/

OpenSSL Git Commit zur Behebung von CVE-2017-3738:
https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=e502cc86df9dafded1694fceb3228ee34d11c11a

OpenSSL Security Advisory 20171207:
https://www.openssl.org/news/secadv/20171207.txt

Schwachstelle CVE-2017-3737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3737

Schwachstelle CVE-2017-3738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3738

FreeBSD Security Advisory FreeBSD-SA-17:12.openssl:
http://www.freebsd.org/security/advisories/FreeBSD-SA-17%3A12.openssl.asc

Ubuntu Security Notice USN-3512-1:
http://www.ubuntu.com/usn/usn-3512-1/

Debian Security Advisory DSA-4065-1:
https://www.debian.org/security/2017/dsa-4065

SUSE Security Update SUSE-SU-2017:3343-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-December/003538.html

openSUSE Security Update openSUSE-SU-2017:3345-1:
http://lists.opensuse.org/opensuse-updates/2017-12/msg00061.html

Tor Browser 7.5a10 Release Notes:
https://blog.torproject.org/tor-browser-75a10-released

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (18.12.2017):
Es stehen verschiedene neue Backport-Sicherheitsupdates zur Behebung der
Schwachstellen in OpenSSL bereit. Debian veröffentlicht ein solches Update
für Debian Stretch (stable). SUSE stellt für die SUSE Linux Enterprise
Produkte Desktop, Server und Software Development Kit 12 SP2 und SP3 sowie
für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 und die
Cloud-Produkte SUSE Container as a Service Platform ALL und OpenStack
Cloud Magnum Orchestration 7 ein Sicherheitsupdate bereit. Für openSUSE
Leap 42.2 und 42.3 wird das entsprechende Sicherheitsupdate aus dem
SUSE:SLE-12-SP2:Update-Projekt importiert.
Version 3 (12.12.2017):
Für Ubuntu 17.10, 17.04 und 16.04 LTS stehen Sicherheitsupdates für
OpenSSL zur Behebung der Schwachstellen zur Verfügung.
Version 2 (11.12.2017):
Alle Distributionen von FreeBSD sind von der Schwachstelle betroffen.
FreeBSD stellt für die Distributionen 11.1-STABLE, 11.1-RELEASE-p6,
10.4-STABLE, 10.4-RELEASE-p5 und 10.3-RELEASE-p26 Sicherheitsupdates für
‘openssl’ zur Behebung der Schwachstellen zur Verfügung. Zusätzlich stehen
Quellcode-Patches zur Verfügung.
Version 1 (08.12.2017):
Neues Advisory

Betroffene Software:

OpenSSL Project OpenSSL < 1.0.2n OpenSSL Project OpenSSL <= 1.1.0g Betroffene Plattformen: SUSE Container-as-a-Service-(CaaS)-Plattform ALL SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 SUSE OpenStack Cloud 7 Apple macOS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Canonical Ubuntu Linux 17.10 Debian Linux 9.3 Stretch FreeBSD 10.3-RELEASE-p26 FreeBSD 10.4-RELEASE-p5 FreeBSD 10.4-STABLE FreeBSD 11.1-RELEASE-p6 FreeBSD 11.1-STABLE GNU/Linux HP-UX Microsoft Windows openSUSE Leap 42.2 openSUSE Leap 42.3 SUSE Linux Enterprise Desktop 12 SP2 SUSE Linux Enterprise Desktop 12 SP3 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi SUSE Linux Enterprise Server 12 SP3 Oracle Solaris Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in OpenSSL ausnutzen, um Informationen auszuspähen. Der Hersteller hat für OpenSSL 1.0.2 die Version 1.0.2n als Sicherheitsupdate zur Verfügung gestellt. Für OpenSSL 1.1.0, das nur von der Schwachstelle CVE-2017-3738 betroffen ist, hat der Hersteller aufgrund des niedrigen Gefährdungspotentials noch kein Sicherheitsupdate bereit gestellt, sondern pflegt dieses in die kommende Version 1.1.0h ein. Über das OpenSSL Git-Repository steht aber bereits ein Patch zur Verfügung. Patch: OpenSSL Git Commit zur Behebung von CVE-2017-3738 https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=e502cc86df9dafded1694fceb3228ee34d11c11a

Patch:

OpenSSL Security Advisory 20171207

https://www.openssl.org/news/secadv/20171207.txt

Patch:

FreeBSD Security Advisory FreeBSD-SA-17:12.openssl

http://www.freebsd.org/security/advisories/FreeBSD-SA-17%3A12.openssl.asc

Patch:

Ubuntu Security Notice USN-3512-1

http://www.ubuntu.com/usn/usn-3512-1/

Patch:

Debian Security Advisory DSA-4065-1

https://www.debian.org/security/2017/dsa-4065

Patch:

SUSE Security Update SUSE-SU-2017:3343-1

http://lists.suse.com/pipermail/sle-security-updates/2017-December/003538.html

Patch:

openSUSE Security Update openSUSE-SU-2017:3345-1

http://lists.opensuse.org/opensuse-updates/2017-12/msg00061.html

CVE-2017-3738: Schwachstelle in OpenSSL ermöglicht Ausspähen von
Informationen

Die zur Potenzierung von 1024-Bit Feldern verwendete ‘AVX2 Montgomery
Mltiplication’ Prozedur enthält eine Puffer-Überlauf-Schwachstelle (Overflow
Bug), die zu Angriffen gegen DH1024 (Diffie Hellman) ausgenutzt werden kann.
Elliptic-Curve-Algorithmen sind nicht gefährdet und Angriffe gegen RSA und
DSA wären mit unverhältnismäßig großem Aufwand verbunden. Ein entfernter,
nicht authentisierter Angreifer kann diese Schwachstelle ausnutzen, dadurch
private Schlüssel ermitteln und in der Folge Informationen ausspähen. Die
Schwachstelle betrifft Prozessoren die über den erweiterten Befehlssatz AVX2
verfügen, wie z.B. Intel Haswell.

CVE-2017-3737: Schwachstelle in OpenSSL ermöglicht Umgehung von
Sicherheitsvorkehrungen

OpenSSL enthält eine Schwachstelle, die auf einer fehlerhaften
Implementierung der ‘error state’ Prozedur in den Funktionen ‘SSL_read’ und
‘SSL_write’ beruht. In der Folge werden Informationen am ‘SSL/TLS
record-layer’ u.a. nicht mehr verschlüsselt, sofern eine fehlerhafte
Software diese Funktionen nach Auftreten eines Fehlers erneut aufruft. Ein
entfernter, nicht authentisierter Angreifer kann die Schwachstelle ausnutzen
und dadurch beispielsweise Informationen ausspähen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2216/

OpenSSL Git Commit zur Behebung von CVE-2017-3738:
https://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=e502cc86df9dafded1694fceb3228ee34d11c11a

OpenSSL Security Advisory 20171207:
https://www.openssl.org/news/secadv/20171207.txt

Schwachstelle CVE-2017-3737 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3737

Schwachstelle CVE-2017-3738 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-3738

FreeBSD Security Advisory FreeBSD-SA-17:12.openssl:
http://www.freebsd.org/security/advisories/FreeBSD-SA-17%3A12.openssl.asc

Ubuntu Security Notice USN-3512-1:
http://www.ubuntu.com/usn/usn-3512-1/

Debian Security Advisory DSA-4065-1:
https://www.debian.org/security/2017/dsa-4065

SUSE Security Update SUSE-SU-2017:3343-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-December/003538.html

openSUSE Security Update openSUSE-SU-2017:3345-1:
http://lists.opensuse.org/opensuse-updates/2017-12/msg00061.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.