2014-1486: PolarSSL: Zwei Schwachstellen ermöglichen u. a. Ausspähen von Informationen

Historie:

Version 1 (2014-11-13 18:40)

Neues Advisory

Version 2 (2014-11-14 12:36)

Für Fedora 19, 20 werden mit den neuen Paketen polarssl-1.2.12-1.fc19 und polarssl-1.2.12-1.fc20 (im Status "testing") die Schwachstellen durch "back ported" Patches behoben.

Version 3 (2014-11-20 17:21)

Für openSUSE 13.2 steht ein Sicherheitsupdate auf PolarSSL 1.3.9 bereit.

Version 4 (2015-01-05 17:06)

Für die Debian Distributionen Wheezy und Jessie stehen Sicherheitsupdates zur Verfügung, welche nur die Schwachstelle CVE-2014-8628 adressieren.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Durch Ausnutzen der Schwachstellen kann ein entfernter, nicht authentisierter Angreifer entweder Sicherheitsvorkehrungen umgehen oder sensible Informationen ausspähen. Die Schwachstellen werden durch PolarSSL 1.3.9 behoben, wobei CVE-2014-8627 überhaupt erst mit Version 1.3.8 eingeführt wurde. Für Extra Packages for Red Hat Enterprise Linux 5, 6 werden mit den neuen Paketen polarssl-1.3.2-3.el5 und polarssl-1.3.2-3.el6 die Schwachstellen durch "back ported" Patches behoben.

Schwachstellen:

CVE-2014-8627

Schwachstelle in PolarSSL ermöglicht das Umgehen von Sicherheitsvorkehrungen

CVE-2014-8628

Schwachstelle in PolarSSL ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.