2014-1366: OpenSSL: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und DoS-Angriffe
Historie:
- Version 1 (2014-10-16 18:53)
- Neues Advisory
- Version 2 (2014-10-17 18:05)
- Ubuntu stellt Sicherheitsupdates für Ubuntu 10.04 LTS, 12.04 LTS und 14.04 LTS zur Verfügung und behebt damit die Schwachstellen CVE-2014-3513 (10.04 LTS ist nicht betroffen), CVE-2014-3567 und CVE-2014-3566. Debian stellt für Debian 7.6 (Wheezy) Updates bereit. Red Hat bietet ebenfalls Patches an für die RHEL Varianten Desktop 6 und 7, HPC Node 6 und 7, Server 6, 7 und EUS 6.6.z sowie Workstation 6 und 7.
- Version 3 (2014-10-22 13:06)
- FreeBSD stellt für alle aktuell unterstützten Versionen Sicherheitsupdates bereit.
- Version 4 (2014-10-23 12:56)
- Red Hat stellt für den Storage Server 2.1 ein Sicherheitsupdate zur Verfügung, welches eine über Backports korrigierte OpenSSL Version zur Behebung der Schwachstellen CVE-2014-3513, CVE-2014-3566 und CVE-2014-3567 enthält.
- Version 5 (2014-10-29 18:41)
- Für openSUSE 12.3 und openSUSE 13.1 stehen Sicherheitsupdates bereit.
- Version 6 (2014-10-31 12:12)
- Für HP-UX B.11.11, B.11.23 und B.11.31, welche OpenSSL vor Version 0.9.8zc einsetzen, stehen Sicherheitsupdates zur Verfügung, welche die drei relevanten Schwachstellen beheben.
- Version 7 (2014-11-04 15:13)
- NetBSD hat die Schwachstelle für alle unterstützten NetBSD-Branches in allen aktuellen Versionen behoben.
- Version 8 (2014-11-05 12:37)
- Für SUSE Linux Enterprise Security Module 11 SP3 wurde ein Sicherheitsupdate veröffentlicht.
- Version 9 (2014-11-06 10:44)
- SUSE stellt für SUSE Linux Enterprise 11 SP3 für Software Development Kit, Server, Server für VMware und Desktop Sicherheitsupdates bereit, welche die Schwachstellen CVE-2014-3566, CVE-2014-3567 und CVE-2014-3568 adressieren.
- Version 10 (2014-11-11 11:27)
- SUSE stellt für SUSE Linux Enterprise Server 11 SP1 LTSS und SUSE Linux Enterprise Server 11 SP2 LTSS Sicherheitsupdates bereit. Auch für SUSE Linux Enterprise Server 10 SP4 LTSS wurde ein Sicherheitsupdate veröffentlicht, dieses adressiert die Schwachstelle CVE-2014-3513, im Gegensatz zu den beiden vorgenannten, nicht.
- Version 11 (2014-11-13 18:25)
- SUSE stellt für SUSE Studio Onsite 1.3 und SUSE Manager 1.7 for SLE 11 SP2 Sicherheitsupdates in der Form aktualisierter Pakete von openssl 0.9.8j bereit, wodurch CVE-2014-3566, CVE-2014-3567, CVE-2014-3568, nicht jedoch CVE-2014-3513 adressiert werden.
- Version 12 (2014-12-03 17:00)
- Für SUSE Linux Enterprise Desktop 12 steht ein Sicherheitsupdate für compat-openssl098 zur Verfügung, welches die Schwachstelle CVE-2014-3513 nicht benennt. Die bereitstehenden Sicherheitsupdates für openssl für SUSE Linux Enterprise Software Development Kit 12, SUSE Linux Enterprise Server 12 und SUSE Linux Enterprise Desktop 12 adressieren alle vier Schwachstellen.
Betroffene Software
Sicherheit
Betroffene Plattformen
HP
Juniper
Linux
UNIX
Beschreibung:
Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer, Informationen auszuspähen oder Denial-of-Service-Angriffe durchzuführen.
Von der Schwachstelle CVE-2014-3513 sind nur die OpenSSL Versionen 1.0.1 bis 1.0.1i betroffen.
Schwachstellen:
CVE-2014-3513
Schwachstelle in der DTLS SRTP Erweiterung von OpenSSL ermöglicht DoS-AngriffeCVE-2014-3566
POODLE: SSL 3.0 Protokoll, wie z.B. in OpenSSL verwendet, ermöglicht das Ausspähen von InformationenCVE-2014-3567
Schwachstelle in der Speicherverwaltung von OpenSSL ermöglicht DoS-AngriffeCVE-2014-3568
Schwachstelle in der Auswertung von Kompilationsvorgaben in OpenSSL
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.