2016-0001: Mozilla Firefox, NSS, Debian Iceweasel, OpenSSL, GnuTLS, PolarSSL, mbed TLS: Eine Schwachstelle erlaubt das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2016-01-04 10:50)

Neues Advisory

Version 2 (2016-01-07 12:49)

Mozilla veröffentlicht das Security Advisory MFSA2015-150 jetzt erneut und gibt an, dass die Schwachstelle in den Versionen Firefox 43.0.2, Firefox ESR 38.5.2 und NSS Version 3.20.2 behoben wurde.

Version 3 (2016-01-08 12:10)

Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates für die NSS-Bibliothek bereit. Zusätzlich stellt Canonical für Ubuntu 12.04 LTS ein aktualisiertes OpenSSL-Paket zur Verfügung, da in diesem die gleiche MD5-Nutzungs-Problematik besteht. Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Produkte Desktop, HPC Node, Server, Server EUS 6.7.z und Workstation Sicherheitsupdates für die NSS-, OpenSSL- und GnuTLS-Pakete bereit, um die Schwachstelle zu adressieren.

Version 4 (2016-01-08 16:44)

Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 15.04 werden Sicherheitsupdates für GnuTLS veröffentlicht.

Version 5 (2016-01-11 13:26)

Debian stellt für die Distribution Wheezy (oldstable) Sicherheitsupdates für GnuTLS und OpenSSL zur Verfügung. Fedora stellt für Fedora EPEL 5 ein Sicherheitsupdate für OpenSSL in Form des Paketes openssl101e-1.0.1e-6.el5 im Status 'testing' bereit. Und Canonical veröffentlicht für Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04 und Ubuntu 15.10 Sicherheitsupdates für Firefox.

Version 6 (2016-01-18 16:03)

SUSE stellt für die SUSE Linux Enterprise Distributionen SDK 12 und 12 SP1, Desktop 12 und 12 SP1 sowie Server 12 und 12 SP1 Sicherheitsupdates für mozilla-nss zur Verfügung.

Version 7 (2016-01-19 14:45)

Für die Distribution openSUSE13.2 steht ein Sicherheitsupdate für PolarSSL und für openSUSE Leap 42.1 steht ein Sicherheitsupdate für mbed TLS auf Version 1.3.16 zur Verfügung.

Version 8 (2016-01-22 11:28)

SUSE stellt für die SUSE Linux Enterprise 11 Produkte Software Development Kit SP3 und SP4, Desktop SP3 und SP3, Sever SP3 und SP4 sowie Server for VMWare SP3 Sicherheitsupdates für Mozilla NSS bereit.

Version 9 (2016-01-25 12:16)

F5 Networks untersucht derzeit noch seine Produkte hinsichtlich einer etwaigen Verwundbarkeit, eine Bestätigung ist derzeit noch nicht verfügbar. F5 Networks wird sein Security Advisory sol02201365 baldmöglichst mit entsprechender Information aktualisieren.

Version 10 (2016-01-28 13:09)

Für die Distributionen Debian Linux Wheezy (oldstable) und Jessie (stable) stehen Sicherheitsupdates auf die Iceweasel Version 38.6.0 ESR zur Verfügung, welche zusätzlich zur CVE-2015-7575 auch die beiden Schwachstellen CVE-2016-1930 und CVE-2016-1935 adressieren, die von Mozilla erst mit Firefox 44.0 bzw. Firefox 38.6.0 behoben wurden und deshalb hier nicht aufgenommen sind.

Version 11 (2016-02-02 16:51)

IBM informiert darüber, dass IBM Domino 9.0.1 Fix Pack 3 Interim Fix 2 bis 9.0.1 Fix Pack 5 von der SLOTH-Schwachstelle betroffen sind, IBM Domino 9.0 und IBM Domino 8.5.x dagegen nicht, da diese sich auf TLS 1.2 bezieht. IBM stellt zur Behebung der Schwachstelle Domino 9.0.1 Fix Pack 5 Interim Fix 1 als Sicherheitsupdate zur Verfügung. Für Kunden mit IBM Domino 9.0.1 Fix Pack 4 und Interim Fixes oder IBM Domino 9.0.1 Fix Pack 3 Interim Fix 3 und später werden auf Basis entsprechender Supportanfragen spezifische Hotfixes bereitgestellt.

Version 12 (2016-02-03 18:04)

Das GnuTLS Projektteam empfiehlt mit dem Update von GNUTLS-SA-2015-2 ein Upgrade auf GnuTLS 3.4.1 oder 3.3.15, um diese Schwachstelle zu beheben.

Version 13 (2016-02-29 17:32)

Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates auf die Bouncy Castle Version 1.54 zur Verfügung, welche die Schwachstelle adressieren.

Version 14 (2016-03-01 19:18)

IBM informiert darüber, dass IBM Notes 9.0.1 Fix Pack 3 Interim Fix 2 bis 9.0.1 Fix Pack 5 von der SLOTH-Schwachstelle betroffen sind, IBM Notes 9.0 und IBM Notes 8.5.x dagegen nicht, da diese sich auf TLS 1.2 bezieht. IBM stellt zur Behebung der Schwachstelle IBM Notes 9.0.1 Fixpack 5 IF 2 (für Windows), IBM Notes 9.0.1 Fixpack 5 IF 1 (für Linux) und IBM Notes 64-bit 9.0.1 IF1 (für Mac 64-bit Plattform) als Sicherheitsupdate zur Verfügung. Für Kunden mit IBM Notes 9.0.1 Fix Pack 4 und Interim Fixes oder IBM Notes 9.0.1 Fix Pack 3 Interim Fix 3 und später werden auf Basis entsprechender Supportanfragen spezifische Hotfixes bereitgestellt.

Betroffene Software

Middleware
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

IBM
Apple
Google
Linux
Microsoft
UNIX

Beschreibung:

Eine Schwachstelle in den Mozilla Network Security Services (NSS) ermöglicht einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen.

Für openSUSE 13.1, openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates für Mozilla NSS auf Version 3.20.2 und Mozilla Firefox auf Version 43.0.3 zur Verfügung.

Bitte beachten Sie: Zur Behebung der hier genannten Schwachstelle hat Mozilla am 28. Dezember 2015 das Security Advisory MFSA2015-150 veröffentlicht, dieses aber kurze Zeit später, ohne Angaben von Gründen, wieder zurückgezogen. Zeitgleich wurde die Firefox Version 43.0.3 bereitgestellt. Ob die hier genannte Schwachstelle in der Version also tatsächlich behoben ist, ist unklar. In den Release Notes zur Firefox Version 43.0.3 wird die Schwachstelle nicht genannt.

Schwachstellen:

CVE-2015-7575

Schwachstelle in Network Security Services ermöglicht das Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.