2014-1016: OpenSSL: Mehrere Schwachstellen erlauben verschiedene Angriffe

Historie:

Version 1 (2014-08-07 15:34)

Neues Advisory

Version 2 (2014-08-08 11:41)

Canonical stellt für die Distributionen Ubuntu 10.04 LTS, Ubuntu 12.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates bereit.

Version 3 (2014-08-21 18:50)

SuSE stellt für die Versionen openSuSE 12.3 und 13.1 Sicherheitsupdates bereit.

Version 4 (2014-08-26 18:53)

Für das SUSE Linux Enterprise Security Module 11 SP3 steht ein Sicherheitsupdate bereit.

Version 5 (2014-08-27 17:53)

Die NetBSD Foundation teilt mit, dass von den OpenSSL-Schwachstellen auch NetBSD 6.1 - 6.1.4 und 6.0 - 6.0.5 betroffen sowie NetBSD 5.1 - 5.1.4 und NetBSD 5.2 - 5.2.2 teilweise betroffen sind. NetBSD-6 und NetBSD-current wurden aktualisiert auf OpenSSL 1.0.1h.

Version 6 (2014-09-09 16:49)

Das FreeBSD Project informiert darüber, dass alle derzeit unterstützten Versionen von FreeBSD von den Schwachstellen betroffen sind und stellt entsprechende Sicherheitsupdates zur Verfügung. Die Schwachstelle CVE-2014-3505 wird im Security Advisory allerdings nicht genannt.

Betroffene Software

Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft
UNIX

Beschreibung:

Mehrere Schwachstellen in OpenSSL ermöglichen einem zumeist entfernten, nicht authentifizierten Angreifer das System in einen Denial-of-Service-Zustand zu versetzen, einen Man-in-the-Middle-Angriff durchzuführen, beliebigen Programmcode zur Ausführung zu bringen oder Informationen auszuspähen. Für OpenSSL 0.9.8, 1.0.0 und 1.0.1 stehen jeweils neue Versionen zur Verfügung, welche die Schwachstellen beheben. Debian hat bereits aktualisierte OpenSSL 1.0.1 Pakete für Debian 7.6 (Wheezy) zur Verfügung gestellt.

Schwachstellen:

CVE-2014-3505

Schwachstelle in OpenSSL: "Double-Free" bei Verarbeitung von DTLS-Paketen

CVE-2014-3506

Schwachstelle in OpenSSL: DTLS "Memory Exhaustion"

CVE-2014-3507

Schwachstelle in OpenSSL: DTLS-Speicherleck von Null-Längen-Fragmenten

CVE-2014-3508

Schwachstelle in OpenSSL: Informationsleck in der Pretty-Printing-Funktion

CVE-2014-3509

Schwachstelle in OpenSSL: "Race Condition" in "ssl_parse_serverhello_tlsext"

CVE-2014-3510

Schwachstelle in OpenSSL: "DTLS Anonymous EC(DH) Denial-of-Service"

CVE-2014-3511

Schwachstelle in OpenSSL erlaubt TLS-Protokoll-Downgrade Angriffe

CVE-2014-3512

Schwachstelle in OpenSSL: SRP-Pufferüberlauf

CVE-2014-5139

Schwachstelle in OpenSSL: Absturz mit SRP-Ciphersuite in Server-Hello-Nachricht

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.