DFN-CERT

Advisory-Archiv

2015-1011: OpenSSL: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsmaßnahmen

Historie:

Version 1 (2015-07-09 18:49)
Neues Advisory
Version 2 (2015-07-10 12:08)
FreeBSD veröffentlicht ein Sicherheitsupdate für die Versionen 10.1-STABLE, die nach dem 11.Juni 2015 und vor dem 09.Juli 2015 erstellt worden sind, da nur diese von der Schwachstelle betroffen sind. In allen anderen derzeit unterstützten FreeBSD Versionen ist das problematische Feature nicht aktiviert.
Version 3 (2015-07-13 18:11)
Cisco informiert darüber, dass die Betroffenheit der Cisco Produkte von der Schwachstelle derzeit untersucht wird. Die Ergebnisse werden auf der referenzierten Hersteller-Seite veröffentlicht.
Version 4 (2015-07-14 12:02)
Für die Distributionen Fedora 21 und Fedora 22 stehen Sicherheitsupdates in Form der Pakete openssl-1.0.1k-11.fc21 bzw. openssl-1.0.1k-11.fc22 im Status 'stable' bereit. Cisco aktualisiert das Security Advisory cisco-sa-20150710-openssl und benennt jetzt erste Produkte, u.a. den Cisco Unified Communications Manager (UCM), als verwundbar. Sicherheitsupdates stellt Cisco noch keine bereit.
Version 5 (2015-07-28 13:04)
Cisco hat das referenzierte Advisory mehrfach aktualisiert und weitere betroffene Produkte aufgelistet. Zusätzlich stellt Cisco für einige Produkte Informationen zu der geplanten Bereitstellung von Sicherheitsupdates zur Verfügung. Das Datum für die Bereitstellung von Updates liegt teilweise erst im nächsten Jahr, für einzelne Produkte sollen Sicherheitsupdates aber im Laufe der Woche veröffentlicht werden, z.B. für Cisco Unity Connection ist der 30. Juli und für Cisco Security Manager 4.8 SP1 der 31. Juli 2015 das geplante Releasedatum.
Version 6 (2015-08-26 13:11)
Cisco aktualisiert das Security Advisory weiterhin stetig. So ist z.B. für Cisco Jabber Software Development Kit 11.0(0) für heute (26. August 15) ein Sicherheitsupdate angekündigt. Für den Cisco Security Manager Version 4.9 soll am 31. August 15 ein Sicherheitsupdate verfügbar sein und für Cisco Nexus 9000 (ACI/Fabric Switch) im Laufe dieses Monats. Für das WebUI Feature von Cisco IOS-XE existiert Version 16 als Sicherheitsupdate.
Version 7 (2015-08-31 17:07)
Cisco aktualisiert das Security Advisory weiterhin schrittweise. Beispielsweise sind für verschiedene Cisco Prime Produkte ebenfalls Sicherheitsupdates angekündigt.

Betroffene Software

Sicherheit

Betroffene Plattformen

Hardware
Cisco
Apple
Linux
Microsoft
UNIX

Beschreibung:

Eine Schwachstelle in OpenSSL ermöglicht bestimmte Sicherheitsmechanismen zu umgehen, welche die Ausstellung und Verwendung von ungültigen Zertifikaten verhindern sollen. Ein entfernter, nicht authentisierter Angreifer kann dadurch einen sogenannten Alternative Chains Certificate Forgery durchführen, wodurch weitere nicht näher spezifizierte Angriffe möglich werden.

Für OpenSSL 1.0.2b/1.0.2c wird ein Sicherheitsupdate auf Version 1.0.2d, für OpenSSL 1.0.1n/1.0.1o auf Version 1.0.1p zur Verfügung gestellt. Die OpenSSL Versionen 1.0.0 und 0.9.8 gelten als nicht betroffen, da diese keine alternativen Ketten unterstützen.

Schwachstellen:

CVE-2015-1793

Schwachstelle in OpenSSL erlaubt Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.