2016-0166: OpenSSL: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsmechanismen und das Ausspähen von Informationen

Historie:

Version 1 (2016-01-28 18:32)

Neues Advisory

Version 2 (2016-01-29 12:17)

Für Fedora steht ein Sicherheitsupdate auf OpenSSL 1.0.2f im Status 'testing' zur Verfügung. F5 Networks informiert darüber, dass Untersuchungen zur Verwundbarkeit durch die beiden Schwachstellen stattfinden, kann aber noch keine Aussagen machen, welche Produkte und Versionen betroffen sind.

Version 3 (2016-02-01 11:28)

Für die FreeBSD Versionen 9.3-STABLE und 10.2-STABLE stehen Sicherheitsupdates für OpenSSL zur Verfügung. Zusätzlich veröffentlicht das FreeBSD Projekt die korrigierten Versionen 9.3-RELEASE-p36, 10.1-RELEASE-p29 und 10.2-RELEASE-p12 um die Schwachstelle CVE-2015-3197 zu beheben. Cisco informiert darüber, dass Untersuchungen zur Verwundbarkeit durch die beiden Schwachstellen stattfinden, kann aber noch keine Aussagen machen, welche Produkte und Versionen betroffen sind.

Version 4 (2016-02-03 12:55)

Cisco informiert darüber, dass Untersuchungen zur Verwundbarkeit durch die beiden Schwachstellen stattfinden, derzeit werden verschiedene Produkte aus den Produktklassen "Network Management and Provisioning", "Routing and Switching - Enterprise and Service Provider", "Voice and Unified Communications Devices", "Video, Streaming, TelePresence, and Transcoding Devices", sowie "Cisco Hosted Services" als betroffen genannt.

Version 5 (2016-02-08 14:29)

Cisco aktualisiert die Sicherheitsmeldung, informiert über weitere verwundbare und nicht verwundbare Produkte und kündigt einige Sicherheitsupdates an. U.a. werden für den Cisco Unified Communications Manager und für Cisco Unity Connection Sicherheitsupdates für Ende Februar angekündigt.

Version 6 (2016-02-08 15:52)

Für die Distribution openSUSE 13.2 stehen Backport-Sicherheitsupdates für OpenSSL 1.0.1k zur Verfügung, mit denen die Schwachstelle CVE-2015-3197 adressiert wird. Die Schwachstelle CVE-2016-0701 betrifft nur OpenSSL ab Version 1.0.2.

Version 7 (2016-02-12 15:51)

Für die Distribution openSUSE 13.1 stehen Backport-Sicherheitsupdates für OpenSSL 1.0.1k zur Verfügung, mit denen die Schwachstelle CVE-2015-3197 adressiert wird. Die Schwachstelle CVE-2016-0701 betrifft nur OpenSSL ab Version 1.0.2.

Version 8 (2016-02-15 12:48)

Cisco aktualisiert die Sicherheitsmeldung und informiert über weitere verwundbare / nicht verwundbare Produkte. Unter anderem werden die Schwachstellen auch für Cisco WebEx Meetings Server 1.x und 2.x sowie Cisco Jabber for Windows bestätigt; Sicherheitsupdates stehen noch nicht zur Verfügung.

Version 9 (2016-02-17 12:50)

Cisco führt in der aktualisierten Sicherheitsmeldung jetzt auch die Cisco Email Security Appliance (ESA) als über die Schwachstellen angreifbar auf.

Version 10 (2016-02-19 13:53)

In einem Update auf Security Advisory sol33209124 weist F5 Networks darauf hin, dass BIG-IP Protocol Security Module in den Versionen 10.1.0 - 10.2.2 von der Schwachstelle CVE-2015-3197 betroffen ist. Die Programmversionen 10.2.3 - 10.2.4 und 11.0.0 - 11.4.1 werden als nicht verwundbar eingestuft, ein Update wird empfohlen.

Version 11 (2016-02-23 10:43)

Cisco stellt erneut aktualisierte Informationen zu betroffenen Cisco Produkten bereit inklusive eines geplanten Patchdatums für die meisten verwundbaren Produkte. Die ersten Sicherheitsupdates sind u.a. für den Cisco Unified Computing System B-Series (Blade) Server in Form der Version 2.2.(3d) und für Cisco Unity Connection (UC) in Form der Version 11.5 angekündigt.

Version 12 (2016-02-26 17:33)

Cisco stellt erneut aktualisierte Informationen zu betroffenen Cisco Produkten bereit inklusive eines geplanten Patch-Datums für die meisten verwundbaren Produkte. Unter anderem sind Produkte der Produktreihen Cisco Adaptive Security Appliance (ASA), die Netzwerk-Switches der Serien Cisco Nexus 3000 und 9000, Cisco ONS 15454 und verschiedene Produkte der Cisco TelePresence Serie betroffen.

Version 13 (2016-03-03 15:58)

Cisco stellt erneut aktualisierte Informationen zu betroffenen Cisco Produkten bereit. Unter anderem sind weitere Produkte der Produktreihe Cisco Nexus 3X00 und die Cisco Mobility Services Engine (MSE) betroffen.

Betroffene Software

Sicherheit

Betroffene Plattformen

Hardware
Cisco
Apple
Linux
Microsoft
UNIX

Beschreibung:

Zwei Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen und das Ausspähen von Informationen.

Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.0.2f und 1.0.1r zur Verfügung gestellt, um diese Schwachstellen zu beheben.

Canonical stellt für die Distribution Ubuntu 15.10 ein Backport-Sicherheitsupdate für das Paket libssl1.0.0 zur Verfügung, um die Schwachstelle CVE-2016-0701 zu beheben.

Schwachstellen:

CVE-2015-3197

Schwachstelle in OpenSSL ermöglicht das Umgehen von Sicherheitsmaßnahmen

CVE-2016-0701

Schwachstelle in OpenSSL ermöglicht das Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.