DFN-CERT

Advisory-Archiv

2014-0420: Schwachstelle in OpenSSL TLS/DTLS Heartbeat ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2014-04-08 14:11)
Neues Advisory
Version 2 (2014-04-08 16:00)
Für die Distributionen openSUSE 12.3 und 13.1 stehen nun auch Sicherheitspatches zur Verfügung.
Version 3 (2014-04-09 11:35)
Für das Produkt Red Hat Enterprise Virtualization 3 steht nun auch ein Sicherheitspatch zur Verfügung.
Version 4 (2014-04-10 15:00)
FreeBSD, Fedora, Cisco, Juniper, NetBSD, F5 und das Tor-Projekt stellen Updates oder Informationen zum Umgang mit der Schwachstelle zur Verfügung.
Version 5 (2014-04-10 19:43)
FreeRADIUS stellt Patches für die aktuell unterstützten Versionen zur Verfügung.
Version 6 (2014-04-11 14:24)
VMWare stellt Updates für verschiedene Produkte bereit. Redhat stellt eine überarbeitete Version des Hypervisors für Red Hat Enterprise Virtualization 3 zur Verfügung.
Version 7 (2014-04-14 19:27)
IBM meldet, dass u.a. AIX 6.1 TL9 und AIX 7.1 TL3 betroffen sind und stellt nun OpenSSL ohne Heartbeat-Erweiterung bereit.
Version 8 (2014-04-15 19:44)
Sicherheitsupdates stehen für OpenBSD 5.3, 5.4 und 5.5 bereit. Für Fedora 19 und 20 wurde OpenSSL für mingw von der Schwachstelle befreit.
Version 9 (2014-04-22 19:39)
Es sind neue Informationen von Fedora, IBM, Red Hat, Oracle, HP, Blackberry und openSUSE verfügbar.
Version 10 (2014-04-30 13:59)
Es sind Informationen zu Citrix Produkten verfügbar.
Version 11 (2014-05-06 16:33)
Sophos hat Sicherheitsupdates zur Verfügung gestellt, welche die OpenSSL-Schwachstelle adressieren, unter anderem für Sophos Unified Threat Management (UTM) 9.1.
Version 12 (2014-05-28 15:44)
openSUSE stellt jetzt aktualisierte Pakete von Tor für die Distributionen openSUSE 12.3 und 13.1 zur Verfügung

Betroffene Software

Sicherheit

Betroffene Plattformen

Hardware
Cisco
IBM
Juniper
Linux
Oracle
UNIX
VMware
Virtualisierung

Beschreibung:

Eine Schwachstelle in der TLS/DTLS Erweiterung Heartbeat ermöglicht es einem entfernten, nicht angemeldeten Angreifer bis zu 64KB Speicherinhalt aus dem Hauptspeicher auszulesen und dadurch Zugriff auf sensitive Daten wie private Schlüssel zu erhalten. Sollte der Angreifer vergangene Kommunikation aufgezeichnet haben, besteht die Gefahr, dass diese nun auch entschlüsselt werden kann.

Hinweis: Diese Schwachstelle wurde erst in OpenSSL 1.0.1 eingeführt. Ältere Versionen sind nicht betroffen.

Update 1: FreeBSD behebt diese Schwachstellen für alle unterstützten Version, d.h. für stable/10, releng/10.0, stable/9, releng/9.1, releng/9.2, stable/8, releng/8.3 und releng/8.4.

Das Tor Projekt stellt den Tor Browser 3.5.4 als fehlerbereinigte Version zur Verfügung.

Fedora stellt Updates für Fedora 19 und 20 bereit.

Cisco hat bisher "Cisco IOS XE", "Cisco Unified Communication Manager (UCM) 10.0", "AnyConnect Secure Mobility Client for iOS" und "TelePresence Video Communication Server" als verwundbar erkannt. Cisco wird Patches für diese Produkte bereitstellen. Die Liste der betroffenen Produkte wird kontinuierlich unter dem aufgeführten Link aktualisiert.

Juniper hat mehrere Produkte als betroffen gekennzeichnet und arbeitet noch an Sicherheitsupdates.

NetBSD 6.x ist von der Schwachstelle betroffen, während die 5.x Versionen nicht verwundbar sind, Informationen zum Update werden über das Avisory von NetBSD zur Verfügung gestellt.

F5 stellt für eine Reihe von BIG-IP Produkten Informationen zur Verwundbarkeit und zum Umgang mit der Schwachstelle zur Verfügung.

Das Ubuntu Update behebt noch eine weitere Schwachstelle, als die hier referenzierte und wurde bereits veröffentlicht, ist hier aber zur Vollständigkeit noch einmal hinzugefügt worden.

Update 2: FreeRADIUS stellt Patches für die aktuell unterstützten Versionen zur Verfügung.

Update 3: VMWare stellt Updates für verschiedene Produkte bereit.

Redhat stellt eine überarbeitete Version des Hypervisors für Red Hat Enterprise Virtualization 3 zur Verfügung.

Update 4: IBM meldet, dass u.a. AIX 6.1 TL9 und AIX 7.1 TL3 betroffen sind und stellt nun OpenSSL ohne Heartbeat-Erweiterung bereit.

Update 5: Sicherheitsupdates stehen für OpenBSD 5.3, 5.4 und 5.5 bereit. Für Fedora 19 und 20 wurde OpenSSL für mingw von der Schwachstelle befreit.

Update 6: Fedora stellt Updates für stunnel für Fedora 19 und 20 bereit. IBM stellt neue Sicherheitspatches für AIX 6.1 TL9 und AIX 7.1 TL3 mit offiziellem Bugifx bereit und hat die Heartbeat-Funktionalität wieder aktiviert. Red Hat stellt ein neues Paket von rhevm-spice-client für Enterprise Virtualization 3.3 zur Verfügung, das einen betroffenen mingw-virt-viewer enthielt. Auch Oracle, Hewlett Packard und Blackberry stellen Advisories für eine ganze Reihe von Produkten bereit. OpenSUSE stellt für die Distributionen 12.3 und 13.1 nun Version 1.0.1g von OpenSSL bereit.

Update 7: Citrix hat analysiert, welche Versionen verschiedener Citrix-Produkte von der Hearbleed-Schwachstelle betroffen sind. Für Citrix XenClient XT sind dieses die Versionen 3.1.4, 3.2.0 und 3.2.1, für Citrix XenClient Enterprise sind dieses die Versionen 4.1.0, 4.1.1, 4.1.2, 4.1.3 und 4.1.4 ; 4.5.1, 4.5.2, 4.5.3, 4.5.4 und 4.5.5 ; 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.0.4 und 5.0.6 sowie 5.1.0 und 5.1.1. Über die Verfügbarkeit von Patches informiert Citrix zeitnah unter der angegebenen Referenz. Citrix Web Interface verwendet die TLS-Funktionalität des darunterliegenden Webservers. Citrix empfiehlt diesen auf die Verwundbarkeit zu überprüfen. Web Interface kann auch eine "built-in" TLS-Bibliothek für ausgehende TLS-Verbindungen nutzen; diese ist nicht verwundbar für CVE-2014-0160.

Update 8: Sophos hat Sicherheitsupdates zur Verfügung gestellt, welche die OpenSSL-Schwachstelle adressieren, unter anderem für Sophos Unified Threat Management (UTM) 9.1.

Update 9: openSUSE stellt jetzt aktualisierte Pakete von Tor für die Distributionen openSUSE 12.3 und 13.1 zur Verfügung.

Schwachstellen:

CVE-2014-0160

Schwachstelle in OpenSSL TLS/DTLS Heartbeat

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.