Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 4 (06.10.20):
Für SUSE Linux Enterprise Server 11 SECURITY steht ein Sicherheitsupdate
für ‘openssl1’ bereit, um die Schwachstelle zu beheben.
Version 3 (28.09.20):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘openssl1.0’ in
Version 1.0.2u-1~deb9u2 bereit, um die Schwachstelle zu beheben.
Version 2 (15.09.20):
SUSE stellt für die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS,
Debuginfo 11 SP3 und SP4 Sicherheitsupdates für ‘openssl’ zur Verfügung,
welche die referenzierte Schwachstelle adressieren. Für SUSE Linux
Enterprise Server for SAP 12 SP2, SP3, SP4 und SP5 sowie SUSE Linux
Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates für
‘compat-openssl098’ zur Verfügung. Diese beheben die aufgeführte
Schwachstelle, referenzieren allerdings auch die Schwachstelle
CVE-2019-1563, die ebenfalls einem entfernten Angreifer das Ausspähen von
Informationen erlaubt, als behoben.
Version 1 (11.09.20):
Neues Advisory

Ein entfernter Angreifer kann mittels des sogenannten Raccoon-Angriffs
Informationen ausspähen.

Das OpenSSL-Projekt bestätigt die Schwachstelle für OpenSSL 1.0.2, welches
nicht mehr allgemein unterstützt wird, und stellt für Premium Suport Kunden
die Version 1.0.2w als Sicherheitsupdate zur Verfügung. Falls ein Upgrade
nicht möglich ist, sollten betroffene Cipher-Suiten über die Runtime-
Konfiguration deaktiviert werden.

OpenSSL 1.1.0 wird ebenfalls nicht mehr allgemein unterstützt, der Einfluss
der Schwachstelle wurde hierfür nicht untersucht. Generell sollten Benutzer
der verwundbaren Versionen ein Upgrade auf OpenSSL 1.1.1 durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-1980]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 3 (28.09.20):
Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für ‘openssl1.0’ in
Version 1.0.2u-1~deb9u2 bereit, um die Schwachstelle zu beheben.
Version 2 (15.09.20):
SUSE stellt für die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS,
Debuginfo 11 SP3 und SP4 Sicherheitsupdates für ‘openssl’ zur Verfügung,
welche die referenzierte Schwachstelle adressieren. Für SUSE Linux
Enterprise Server for SAP 12 SP2, SP3, SP4 und SP5 sowie SUSE Linux
Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates für
‘compat-openssl098’ zur Verfügung. Diese beheben die aufgeführte
Schwachstelle, referenzieren allerdings auch die Schwachstelle
CVE-2019-1563, die ebenfalls einem entfernten Angreifer das Ausspähen von
Informationen erlaubt, als behoben.
Version 1 (11.09.20):
Neues Advisory

Ein entfernter Angreifer kann mittels des sogenannten Raccoon-Angriffs
Informationen ausspähen.

Das OpenSSL-Projekt bestätigt die Schwachstelle für OpenSSL 1.0.2, welches
nicht mehr allgemein unterstützt wird, und stellt für Premium Suport Kunden
die Version 1.0.2w als Sicherheitsupdate zur Verfügung. Falls ein Upgrade
nicht möglich ist, sollten betroffene Cipher-Suiten über die Runtime-
Konfiguration deaktiviert werden.

OpenSSL 1.1.0 wird ebenfalls nicht mehr allgemein unterstützt, der Einfluss
der Schwachstelle wurde hierfür nicht untersucht. Generell sollten Benutzer
der verwundbaren Versionen ein Upgrade auf OpenSSL 1.1.1 durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-1980]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html

Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (15.09.20):
SUSE stellt für die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS,
Debuginfo 11 SP3 und SP4 Sicherheitsupdates für ‘openssl’ zur Verfügung,
welche die referenzierte Schwachstelle adressieren. Für SUSE Linux
Enterprise Server for SAP 12 SP2, SP3, SP4 und SP5 sowie SUSE Linux
Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates für
‘compat-openssl098’ zur Verfügung. Diese beheben die aufgeführte
Schwachstelle, referenzieren allerdings auch die Schwachstelle
CVE-2019-1563, die ebenfalls einem entfernten Angreifer das Ausspähen von
Informationen erlaubt, als behoben.
Version 1 (11.09.20):
Neues Advisory

Ein entfernter Angreifer kann mittels des sogenannten Raccoon-Angriffs
Informationen ausspähen.

Das OpenSSL-Projekt bestätigt die Schwachstelle für OpenSSL 1.0.2, welches
nicht mehr allgemein unterstützt wird, und stellt für Premium Suport Kunden
die Version 1.0.2w als Sicherheitsupdate zur Verfügung. Falls ein Upgrade
nicht möglich ist, sollten betroffene Cipher-Suiten über die Runtime-
Konfiguration deaktiviert werden.

OpenSSL 1.1.0 wird ebenfalls nicht mehr allgemein unterstützt, der Einfluss
der Schwachstelle wurde hierfür nicht untersucht. Generell sollten Benutzer
der verwundbaren Versionen ein Upgrade auf OpenSSL 1.1.1 durchführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-1980]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html