Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (14.03.19):
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für OpenSSL zur
Verfügung. In der dazugehörigen Sicherheitsmeldung listet Oracle alle seit
Oktober 1999 durchgeführten Änderungen, inklusive der behobenen
Schwachstellen auf. Die letzte in der Liste der korrigierten
Schwachstellen ist die hier referenzierte.
Version 3 (13.03.19):
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für OpenSSL zur
Behebung der Schwachstelle zur Verfügung.
Version 2 (13.03.19):
Für die Red Hat Enterprise Linux 7 Produkte Server, for ARM, for
Scientific Computing, Workstation und Desktop sowie Server AUS, EUS und
TUS 7.6 sowie EUS Compute Node 7.6 stehen Sicherheitsupdates für OpenSSL
zur Behebung der Schwachstelle zur Verfügung.
Version 1 (14.11.18):
Neues Advisory

Ein lokaler, einfach authentisierter Angreifer kann mit Hilfe eines speziell
präparierten Prozesses und ausreichend Ressourcen auf betroffenen Systemen
während der Erstellung von ECDSA-Signaturen einen Timing-Angriff durchführen
und dadurch den privaten Schlüssel in Erfahrung bringen.

Das OpenSSL-Projekt bestätigt die Schwachstelle, die OpenSSL 1.1.0 und 1.0.2
betrifft, und gibt an, dass diese mit der Veröffentlichung von OpenSSL
1.1.0i behoben wurde. Ein Sicherheitsupdate zur Behebung dieser
Schwachstelle für den Versionszweig 1.0.2 ist nicht geplant, es steht aber
ein Quellcode-Patch bereit.

Der Hardwarehersteller Intel, welche die anfällige Technik in verschiedenen
Prozessoren einsetzt, hat bisher nicht auf die Veröffentlichung der
Schwachstelle reagiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2338]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (13.03.19):
Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate für OpenSSL zur
Behebung der Schwachstelle zur Verfügung.
Version 2 (13.03.19):
Für die Red Hat Enterprise Linux 7 Produkte Server, for ARM, for
Scientific Computing, Workstation und Desktop sowie Server AUS, EUS und
TUS 7.6 sowie EUS Compute Node 7.6 stehen Sicherheitsupdates für OpenSSL
zur Behebung der Schwachstelle zur Verfügung.
Version 1 (14.11.18):
Neues Advisory

Ein lokaler, einfach authentisierter Angreifer kann mit Hilfe eines speziell
präparierten Prozesses und ausreichend Ressourcen auf betroffenen Systemen
während der Erstellung von ECDSA-Signaturen einen Timing-Angriff durchführen
und dadurch den privaten Schlüssel in Erfahrung bringen.

Das OpenSSL-Projekt bestätigt die Schwachstelle, die OpenSSL 1.1.0 und 1.0.2
betrifft, und gibt an, dass diese mit der Veröffentlichung von OpenSSL
1.1.0i behoben wurde. Ein Sicherheitsupdate zur Behebung dieser
Schwachstelle für den Versionszweig 1.0.2 ist nicht geplant, es steht aber
ein Quellcode-Patch bereit.

Der Hardwarehersteller Intel, welche die anfällige Technik in verschiedenen
Prozessoren einsetzt, hat bisher nicht auf die Veröffentlichung der
Schwachstelle reagiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2338]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (13.03.19):
Für die Red Hat Enterprise Linux 7 Produkte Server, for ARM, for
Scientific Computing, Workstation und Desktop sowie Server AUS, EUS und
TUS 7.6 sowie EUS Compute Node 7.6 stehen Sicherheitsupdates für OpenSSL
zur Behebung der Schwachstelle zur Verfügung.
Version 1 (14.11.18):
Neues Advisory

Ein lokaler, einfach authentisierter Angreifer kann mit Hilfe eines speziell
präparierten Prozesses und ausreichend Ressourcen auf betroffenen Systemen
während der Erstellung von ECDSA-Signaturen einen Timing-Angriff durchführen
und dadurch den privaten Schlüssel in Erfahrung bringen.

Das OpenSSL-Projekt bestätigt die Schwachstelle, die OpenSSL 1.1.0 und 1.0.2
betrifft, und gibt an, dass diese mit der Veröffentlichung von OpenSSL
1.1.0i behoben wurde. Ein Sicherheitsupdate zur Behebung dieser
Schwachstelle für den Versionszweig 1.0.2 ist nicht geplant, es steht aber
ein Quellcode-Patch bereit.

Der Hardwarehersteller Intel, welche die anfällige Technik in verschiedenen
Prozessoren einsetzt, hat bisher nicht auf die Veröffentlichung der
Schwachstelle reagiert.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2018-2338]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html