2015-0737: TLS/Logjam: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsmaßnahmen

Historie:

Version 1 (2015-05-29 13:34)

Neues Advisory

Version 2 (2015-05-29 13:50)

Das FileZilla-Projekt hat FileZilla Version 3.11.0.1 veröffentlicht, um die Logjam-Schwachstelle zu beheben. Für Fedora 22 steht ein Upstream-Sicherheitsupdate in Form des Paketes filezilla-3.11.0.1-1.fc22 im Status 'testing' zur Verfügung.

Version 3 (2015-06-01 13:04)

Für Fedora 20, 21 und 22 steht ein Upstream-Sicherheitsupdate auf das NSS 3.19.1 Release in Form der Pakete nss-3.19.1-1.0.fc20, nss-softokn-3.19.1-1.0.fc20, nss-util-3.19.1-1.0.fc20; nss-3.19.1-1.0.fc21, nss-softokn-3.19.1-1.0.fc21, nss-util-3.19.1-1.0.fc21; nss-3.19.1-1.0.fc22, nss-softokn-3.19.1-1.0.fc22, nss-util-3.19.1-1.0.fc22 im Status 'testing' zur Verfügung.

Version 4 (2015-06-04 16:53)

Für Fedora 20 steht ein Sicherheitsupdate in Form des Paketes openssl-1.0.1e-43.fc20 im Status 'testing' zur Verfügung, wodurch die LOGJAM-Sicherheitslücke vermieden und eine Regression im Locking des RAND-Subsystems behoben wird.

Version 5 (2015-06-05 12:21)

Für verschiedene Varianten von Red Hat Enterprise Linux 6 und 7 stehen Sicherheitsupdates in Form aktualisierter Pakete von openSSL zur Verfügung.

Version 6 (2015-06-18 12:17)

FreeBSD stellt für alle unterstützten Versionen Sicherheitsupdates für sendmail bereit.

Version 7 (2015-06-25 13:11)

Red Hat stellt für Red Hat Enterprise Linux 6 und 7 Sicherheitsupdates für die Network Security Services (NSS) zur Verfügung.

Version 8 (2015-07-03 14:09)

SUSE stellt für SUSE Linux Enterprise Desktop 11 SP3, Server 11 SP3, Server 11 SP3 für VMware sowie das Software Development Kit 11 SP3 Sicherheitsupdates für MySQL zur Verfügung.

Version 9 (2015-07-09 14:17)

Für openSUSE 13.1 und 13.2 stehen Sicherheitsupdates für MySQL Community Server zur Verfügung.

Version 10 (2015-07-10 20:10)

HP gibt bekannt, dass der HP-UX Apache Web Server in der Standardkonfiguration nicht für diese Schwachstelle anfällig ist. Sollten aber DH (Diffie-Hellman) und EXPORT Ciphers konfiguriert sein, dann ist der Apache für Logjam verwundbar und HP empfiehlt, folgende Zeile in der "httpd-ssl.conf" einzutragen: "SSLCipherSuite !ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:!EXP:+eNULL". Danach muss der Apache neu gestartet werden.

Version 11 (2015-07-13 12:57)

Für SUSE Linux Enterprise Server 11 SP2 LTSS und SUSE Linux Enterprise Server 11 SP1 LTSS stehen Sicherheitsupdates für MySQL bereit.

Version 12 (2015-07-16 17:49)

IBM gibt bekannt, dass die IBM Java Versionen, die mit IBM Notes und Domino ausgeliefert werden, gegenüber der Logjam Attacke auf TLS-Verbindungen bei Verwendung von Diffie-Hellman (DH) Schlüsselaustausch verwundbar sein können. Die native TLS-Implementierung in IBM Notes und Domino ist dagegen nicht betroffen. IBM stellt Interim Fixes bereit.

Version 13 (2015-09-03 16:07)

Für die SUSE Linux Enterprise Distributionen Software Development Kit 11 SP4 / SP3, Server für VMWare 11 SP3, Server 11 SP4 / SP3 / SECURITY sowie Desktop 11 SP4 / SP3 werden Sicherheitsupdates für openldap2 zur Verfügung gestellt.

Version 14 (2015-09-10 16:45)

Für die SUSE Linux Enterprise 11 Produkte Software Development Kit SP3 und SP4, Server SP3, SP4 und SP3 für VMware, High Availability Extension SP3 und SP4 sowie Desktop SP3 und SP4 stehen Sicherheitsupdates für GnuTLS bereit.

Version 15 (2016-02-17 18:03)

Für openSUSE 13.1, openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates für 'socat' auf Version 1.7.3.1 zur Verfügung, um diese und eine weitere Sicherheitslücke zu beheben.

Version 16 (2016-05-26 13:22)

Für die SUSE Linux Enterprise Produkte Server und Desktop stehen jeweils für die Versionen 12 und 12 SP1 Sicherheitsupdates für socat bereit.

Version 17 (2016-06-20 15:32)

Für die SUSE Linux Enterprise-Produkte Software Development Kit und Server in Version 11-SP4 stehen Sicherheitsupdates für MySQL zur Verfügung.

Version 18 (2016-09-01 11:09)

Für SUSE Linux Enterprise Software Development Kit 12 SP1 und Server 12 SP1 stehen Sicherheitsupdates für libtcnative-1-0 bereit.

Version 19 (2016-09-09 11:46)

Für openSUSE Leap 42.1 stehen Sicherheitsupdates für libtcnative-1-0 bereit.

Version 20 (2016-09-27 11:15)

Für SUSE Linux Enterprise Server 11 SP4 und SUSE Linux Enterprise Debuginfo 11 SP4 stehen Sicherheitsupdates für libtcnative-1-0 bereit.

Version 21 (2018-06-21 11:34)

Für SUSE Linux Enterprise Server 11 SP4 steht ein Sicherheitsupdate für 'nagios-nrpe' bereit.

Version 22 (2019-09-11 18:19)

IBM informiert darüber, dass IBM Spectrum Protect Operations Center in den Versionen 8.1.3 bis 8.1.7 betroffen ist (7.1 ist nicht betroffen) und die Schwachstelle in IBM Spectrum Protect Operations Center Version 8.1.8 behoben wurde.

Version 23 (2023-03-02 11:31)

Für SUSE Linux Enterprise High Performance Computing 12 SP2, 12 SP4 und 12 SP5, SUSE Linux Enterprise Server 12 SP2, 12 SP2 BCL, 12 SP4, 12 SP4 ESPOS / LTSS und 12 SP5, SUSE Linux Enterprise Server for SAP Applications 12 SP4 und 12 SP5, SUSE OpenStack Cloud 9 und SUSE OpenStack Cloud Crowbar 9 stehen Sicherheitsupdates für 'nrpe' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Datensicherung
Entwicklung
Middleware
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
Cloud
F5
HP
IBM
Juniper
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in dem Handshake des TLS-Protokolls vor Version 1.2 ermöglicht einem Angreifer durch einen Man-in-the-middle-Angriff aus der Ferne die verwendete Verschlüsselung auf eine unsichere Verschlüsselung durch eine 512-Bit DHE Gruppe zu zwingen. Dadurch kann der Angreifer den Schlüssel leichter berechnen und in der Folge Daten lesen und manipulieren. Der Angriff setzt die Unterstützung des US-EXPORT-Modus voraus. Es handelt sich bei der Schwachstelle um einen Fehler in der Spezifikation von TLS und deshalb ist zu erwarten, dass alle Produkte, die TLS implementieren, betroffen sind.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Verschiedene Hersteller arbeiten bereits an Sicherheitsupdates. F5 Networks benennt BIG-IP PSM bis einschließlich Version 11.4.1 als verwundbar. Das Konfigurationswerkzeug ist aber nur verwundbar in den Versionen 10.1.0 - 10.2.4 und es sind lediglich solche Client SSL-Profile betroffen, für die COMPAT-, EXP- oder EXPORT Ciphers zugelassen ist.

Schwachstellen:

CVE-2015-4000

Schwachstelle in TLS ermöglicht Umgehen von Sicherheitsmaßnahmen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.