2014-1016: OpenSSL: Mehrere Schwachstellen erlauben verschiedene Angriffe
Historie:
- Version 1 (2014-08-07 15:34)
- Neues Advisory
- Version 2 (2014-08-08 11:41)
- Canonical stellt für die Distributionen Ubuntu 10.04 LTS, Ubuntu 12.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates bereit.
- Version 3 (2014-08-21 18:50)
- SuSE stellt für die Versionen openSuSE 12.3 und 13.1 Sicherheitsupdates bereit.
- Version 4 (2014-08-26 18:53)
- Für das SUSE Linux Enterprise Security Module 11 SP3 steht ein Sicherheitsupdate bereit.
- Version 5 (2014-08-27 17:53)
- Die NetBSD Foundation teilt mit, dass von den OpenSSL-Schwachstellen auch NetBSD 6.1 - 6.1.4 und 6.0 - 6.0.5 betroffen sowie NetBSD 5.1 - 5.1.4 und NetBSD 5.2 - 5.2.2 teilweise betroffen sind. NetBSD-6 und NetBSD-current wurden aktualisiert auf OpenSSL 1.0.1h.
- Version 6 (2014-09-09 16:49)
- Das FreeBSD Project informiert darüber, dass alle derzeit unterstützten Versionen von FreeBSD von den Schwachstellen betroffen sind und stellt entsprechende Sicherheitsupdates zur Verfügung. Die Schwachstelle CVE-2014-3505 wird im Security Advisory allerdings nicht genannt.
Betroffene Software
Sicherheit
Betroffene Plattformen
Apple
Linux
Microsoft
UNIX
Beschreibung:
Mehrere Schwachstellen in OpenSSL ermöglichen einem zumeist entfernten, nicht authentifizierten Angreifer das System in einen Denial-of-Service-Zustand zu versetzen, einen Man-in-the-Middle-Angriff durchzuführen, beliebigen Programmcode zur Ausführung zu bringen oder Informationen auszuspähen. Für OpenSSL 0.9.8, 1.0.0 und 1.0.1 stehen jeweils neue Versionen zur Verfügung, welche die Schwachstellen beheben. Debian hat bereits aktualisierte OpenSSL 1.0.1 Pakete für Debian 7.6 (Wheezy) zur Verfügung gestellt.
Schwachstellen:
CVE-2014-3505
Schwachstelle in OpenSSL: "Double-Free" bei Verarbeitung von DTLS-PaketenCVE-2014-3506
Schwachstelle in OpenSSL: DTLS "Memory Exhaustion"CVE-2014-3507
Schwachstelle in OpenSSL: DTLS-Speicherleck von Null-Längen-FragmentenCVE-2014-3508
Schwachstelle in OpenSSL: Informationsleck in der Pretty-Printing-FunktionCVE-2014-3509
Schwachstelle in OpenSSL: "Race Condition" in "ssl_parse_serverhello_tlsext"CVE-2014-3510
Schwachstelle in OpenSSL: "DTLS Anonymous EC(DH) Denial-of-Service"CVE-2014-3511
Schwachstelle in OpenSSL erlaubt TLS-Protokoll-Downgrade AngriffeCVE-2014-3512
Schwachstelle in OpenSSL: SRP-PufferüberlaufCVE-2014-5139
Schwachstelle in OpenSSL: Absturz mit SRP-Ciphersuite in Server-Hello-Nachricht
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.