2014-0709: OpenSSL: Mehrere Schwachstellen erlauben verschiedene Angriffe

Historie:

Version 1 (2014-06-05 18:26)

Neues Advisory

Version 2 (2014-06-06 12:36)

Für die Distribution Debian Wheezy ist ein neues Sicherheitsupdate für die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 veröffentlicht worden, für die anderen beiden Schwachstellen existieren schon länger Sicherheitspatches. Für die Distributionen Fedora 19 und 20 stehen Sicherheitsupdates bereit. Ebenso für Red Hat Enterprise Linux 6.

Version 3 (2014-06-06 14:14)

Für openSUSE 12.3 und 13.1 stehen neue Sicherheitsupdates für die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 bereit, die beiden älteren Schwachstellen wurden schon früher durch Sicherheitsupdates behoben.

Version 4 (2014-06-10 13:41)

NetBSD informiert über die Verwundbarkeit der NetBSD Versionen 6.1 - 6.1.4, 6.0 - 6.0.5, 5.1 - 5.1.4 und 5.2 - 5.2.2 und stellt Sicherheitspatches zur Verfügung. Für die 5er Versionen wird zusätzlich noch die Schwachstelle CVE-2014-0076 behoben, die für die 6er Versionen bereits gefixt wurde. Die Schwachstelle CVE-2014-0076 kann zur ECDSA Nonce-Wert-Wiederherstellung genutzt werden. Citrix gibt ein Security Advisory heraus, welches für die Citrix NetScaler Core Komponente die Nicht-Verwundbarkeit feststellt, allerdings für andere NetScaler Komponenten die Verwundbarkeit nicht ausschließt und die weitere Information über die Analyseergebnisse über das referenzierte Advisory ankündigt.

Version 5 (2014-06-11 12:23)

Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate zur Verfügung. VMware stellt Informationen über die Betroffenheit der VMware Produkte bereit und ein Sicherheitsupdate für ESXi 5.5.

Version 6 (2014-06-13 13:31)

Für Sophos UTM Versionen 8.3, 9.1 und 9.2 stehen Sicherheitsupdates zur Verfügung, welche zusätzlich die Schwachstelle CVE-2014-0076 beheben. Für Sophos UTM Manager Versionen 4.1 und 4.2 werden Patches am 18.06. sowie für Sophos Email Appliances Versionen 3.7.x.x ein Patch in Version 3.8.0.0 ebenfalls am 18.06.2014 erwartet.

Version 7 (2014-06-13 17:37)

Canonical stellt jetzt erneut Sicherheitsupdates für die Distributionen Ubuntu 12.04 LTS, 13.10 und 14.04 LTS bereit zur Behebung eines unvollständigen Fixes für die Schwachstelle CVE-2014-0224. Durch frühere Sicherheitsupdates bereits behoben wurden die Schwachstellen CVE-2010-5298, CVE-2014-0195, CVE-2014-0198, CVE-2014-0221 und CVE-2014-3470. Hewlett Packard stellt Sicherheitsupdates von OpenSSL 0.9.8za für HP-UX B.11.11, B.11.23 und B.11.31 zur Verfügung, welche die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 sowie zusätzlich CVE-2014-0076 beheben.

Version 8 (2014-06-24 18:47)

Der durch Canonical zur Verfügung gestellte Patch 'Ubuntu Security Notice USN-2232-1' hat über die Behebung der Schwachstelle CVE-2014-0224 eine Regression für verschiedene Anwendungen eingeführt, die 'Renegotiation' nutzen, wie zum Beispiel PostgreSQL. Durch das neue Update 'Ubuntu Security Notice USN-2232-3' wird dieses Problem behoben.

Version 9 (2014-07-22 17:33)

VMware stellt mittlerweile für eine ganze Reihe von Produkten Sicherheitsupdates zur Verfügung, unter anderem auch ESXi 5.0 und 5.1. Bitte beachten Sie, dass der Hersteller die Update-Information kontinuierlich über das aufgeführte Advisory aktualisiert.

Version 10 (2014-08-19 15:55)

Canonical stellt nun erneut Sicherheitsupdates für die Distribution Ubuntu 10.04 LTS zur Verfügung, um eine durch einen Backport in einem früheren Patch (USN-2232-1) für manche Applikationen hervorgerufene Regression zu beheben.

Betroffene Software

Netzwerk
Sicherheit
Virtualisierung

Betroffene Plattformen

Hardware
Netzwerk
HP
Sophos
Linux
UNIX
VMware

Beschreibung:

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das System in einen Denial-of-Service-Zustand zu versetzen, einen Man-in-the-middle-Angriff durchzuführen oder auch beliebigen Programmcode zur Ausführung zu bringen.
Canonical stellt jetzt neu Sicherheitsupdates für die Distributionen Ubuntu 10.04 LTS, 12.04 LTS, 13.10 und 14.04 LTS für die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 bereit. Bereits länger verfügbar sind Sicherheitsupdates für Ubuntu 12.04 LTS, 12.10, 13.10 und 14.04 LTS für die Schwachstellen CVE-2010-5298 und CVE-2014-0198.
FreeBSD behebt für alle Versionen die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470, während für die Version 10 seit längerem Sicherheitsupdates für die Schwachstellen CVE-2010-5298 und CVE-2014-0198 verfügbar sind.

Update 1: Für die Distribution Debian Wheezy ist ein neues Sicherheitsupdate für die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 veröffentlicht worden, für die anderen beiden Schwachstellen existieren schon länger Sicherheitspatches.
Für die Distributionen Fedora 19 und 20 stehen Sicherheitsupdates bereit. Ebenso für Red Hat Enterprise Linux 6.

Update 2: Für openSUSE 12.3 und 13.1 stehen neue Sicherheitsupdates für die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 bereit, die beiden älteren Schwachstellen wurden schon früher durch Sicherheitsupdates behoben.

Update 3: NetBSD informiert über die Verwundbarkeit der NetBSD Versionen 6.1 - 6.1.4, 6.0 - 6.0.5, 5.1 - 5.1.4 und 5.2 - 5.2.2 und stellt Sicherheitspatches zur Verfügung. Für die 5er Versionen wird zusätzlich noch die Schwachstelle CVE-2014-0076 behoben, die für die 6er Versionen bereits gefixt wurde. Die Schwachstelle CVE-2014-0076 kann zur ECDSA Nonce-Wert-Wiederherstellung genutzt werden.
Citrix gibt ein Security Advisory heraus, welches für die Citrix NetScaler Core Komponente die Nicht-Verwundbarkeit feststellt, allerdings für andere NetScaler Komponenten die Verwundbarkeit nicht ausschließt und die weitere Information über die Analyseergebnisse über das referenzierte Advisory ankündigt.

Update 4: Für Red Hat Enterprise Linux 7 steht ein Sicherheitsupdate zur Verfügung.
VMware stellt Informationen über die Betroffenheit der VMware Produkte bereit und ein Sicherheitsupdate für ESXi 5.5.

Update 5: Für Sophos UTM Versionen 8.3, 9.1 und 9.2 stehen Sicherheitsupdates zur Verfügung, welche zusätzlich die Schwachstelle CVE-2014-0076 beheben. Für Sophos UTM Manager Versionen 4.1 und 4.2 werden Patches am 18.06. sowie für Sophos Email Appliances Versionen 3.7.x.x ein Patch in Version 3.8.0.0 ebenfalls am 18.06.2014 erwartet.

Update 6: Canonical stellt jetzt erneut Sicherheitsupdates für die Distributionen Ubuntu 12.04 LTS, 13.10 und 14.04 LTS bereit zur Behebung eines unvollständigen Fixes für die Schwachstelle CVE-2014-0224. Durch frühere Sicherheitsupdates bereits behoben wurden die Schwachstellen CVE-2010-5298, CVE-2014-0195, CVE-2014-0198, CVE-2014-0221 und CVE-2014-3470.
Hewlett Packard stellt Sicherheitsupdates von OpenSSL 0.9.8za für HP-UX B.11.11, B.11.23 und B.11.31 zur Verfügung, welche die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470 sowie zusätzlich CVE-2014-0076 beheben.

Update 7: Der durch Canonical zur Verfügung gestellte Patch 'Ubuntu Security Notice USN-2232-1' hat über die Behebung der Schwachstelle CVE-2014-0224 eine Regression für verschiedene Anwendungen eingeführt, die 'Renegotiation' nutzen, wie zum Beispiel PostgreSQL. Durch das neue Update 'Ubuntu Security Notice USN-2232-3' wird dieses Problem behoben.

Update 8: VMware stellt mittlerweile für eine ganze Reihe von Produkten Sicherheitsupdates zur Verfügung, unter anderem auch ESXi 5.0 und 5.1. Bitte beachten Sie, dass der Hersteller die Update-Information kontinuierlich über das aufgeführte Advisory aktualisiert.

Update 9: Canonical stellt nun erneut Sicherheitsupdates für die Distribution Ubuntu 10.04 LTS zur Verfügung, um eine durch einen Backport in einem früheren Patch (USN-2232-1) für manche Applikationen hervorgerufene Regression zu beheben. Dies betrifft die Schwachstellen CVE-2014-0195, CVE-2014-0221, CVE-2014-0224 und CVE-2014-3470. Die Schwachstellen CVE-2010-5298 und CVE-2014-0198 wurde bereits früher erfolgreich behoben.

Schwachstellen:

CVE-2010-5298

Schwachstelle in OpenSSL

CVE-2014-0195

Schwachstelle in OpenSSL erlaubt Denial-of-Service

CVE-2014-0198

Schwachstelle in OpenSSL

CVE-2014-0221

Schwachstelle in OpenSSL erlaubt Denial-of-Service

CVE-2014-0224

Schwachstelle in OpenSSL erlaubt Umgehen von Sicherheitsvorkehrungen

CVE-2014-3470

Schwachstelle in OpenSSL erlaubt Denial-of-Service

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.