2014-1031: OpenSSL: Mehrere Schwachstellen erlauben verschiedene Angriffe
Historie:
- Version 1 (2014-08-11 13:40)
- Neues Advisory
- Version 2 (2014-08-14 12:23)
- Für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte stehen Sicherheitsupdates für die über Backports korrigierte OpenSSL 1.0.1e Version zur Verfügung.
- Version 3 (2014-08-14 19:35)
- Für Red Hat Storage Server 2.1 stehen Sicherheitsupdates für die über Backports korrigierte OpenSSL 1.0.1e Version zur Verfügung.
- Version 4 (2014-08-20 15:05)
- HP stellt Sicherheitsupdates für die Distributionen HP-UX B.11.11, B.11.23 und B.11.31 zur Verfügung. Für die Schwachstellen CVE-2014-3509 und CVE-2014-3511 stehen keine Patches bereit.
Betroffene Software
Sicherheit
Betroffene Plattformen
HP
Linux
UNIX
Beschreibung:
Mehrere Schwachstellen in OpenSSL ermöglichen einem zumeist entfernten, nicht authentifizierten Angreifer das System in einen Denial-of-Service-Zustand zu versetzen, einen Man-in-the-Middle-Angriff durchzuführen, beliebigen Programmcode zur Ausführung zu bringen oder Informationen auszuspähen.
Für Fedora 19 und Fedora 20 stehen Sicherheitsupdates der Version OpenSSL 1.0.1 zur Verfügung, welche die Schwachstellen über Backports behebt.
Schwachstellen:
CVE-2014-3505
Schwachstelle in OpenSSL: "Double-Free" bei Verarbeitung von DTLS-PaketenCVE-2014-3506
Schwachstelle in OpenSSL: DTLS "Memory Exhaustion"CVE-2014-3507
Schwachstelle in OpenSSL: DTLS-Speicherleck von Null-Längen-FragmentenCVE-2014-3508
Schwachstelle in OpenSSL: Informationsleck in der Pretty-Printing-FunktionCVE-2014-3509
Schwachstelle in OpenSSL: "Race Condition" in "ssl_parse_serverhello_tlsext"CVE-2014-3510
Schwachstelle in OpenSSL: "DTLS Anonymous EC(DH) Denial-of-Service"CVE-2014-3511
Schwachstelle in OpenSSL erlaubt TLS-Protokoll-Downgrade Angriffe
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.