2016-0357: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsmechanismen

Historie:

Version 1 (2016-03-01 18:39): Neues Advisory
Version 2 (2016-03-02 11:53): Für die Debian Distributionen Wheezy (oldstable) und Jessie (stable) stehen Backport-Sicherheitsupdates zur Behebung der Schwachstellen CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798 und CVE-2016-0799 bereit. Zusätzlich werden EXPORT und LOW Chiffren deaktiviert, da diese im Kontext von DROWN (CVE-2016-0800) und SLOTH (CVE-2015-7575) Angriffen verwendet werden könnten. Debian weist aber darauf hin, dass Wheezy und Jessie nicht von dieser Art Angriffe betroffen sind, da das SSLv2 Protokoll bereits in den openssl-Paketen Version 1.0.0c-2 weggefallen ist. Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates in Form fehlerbereinigter libssl-Pakete zur Behebung der OpenSSL-Schwachstellen CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798 und CVE-2016-0799 zur Verfügung.
Version 3 (2016-03-02 15:00): Für openSUSE 13.2 stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798 und CVE-2016-0800 bereit. SUSE weist aber darauf hin, dass openSSL in openSUSE 13.2 mit der Option "no-ssl2" erstellt wurde. SUSE gibt außerdem bekannt, dass openSUSE 13.2 nicht von der Schwachstelle CVE-2016-0799 betroffen ist. Für Fedora 22 und 23 stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2016-0702, CVE-2016-0705 und CVE-2016-0799 in Form der Pakete openssl-1.0.1k-14.fc22 und openssl-1.0.2g-2.fc23 zur Verfügung, die sich derzeit allerdings noch im Status 'pending' befinden. Es wird ebenfalls darauf hingewiesen, dass SSLv2 bereits per Voreinstellung deaktiviert ist in Fedora OpenSSL.
Version 4 (2016-03-03 17:59): F5 Networks informiert darüber, dass bislang keine Informationen über eine Betroffenheit ihrer Produkte bezüglich der Schwachstellen CVE-2016-0703 und CVE-2016-0800 vorliegen. Es werden derzeit noch Untersuchungen durchgeführt, die Erkenntnisse werden über die aufgeführte Referenz 'F5 Networks Security Advisory sol23196136' veröffentlicht. Cisco informiert im referenzierten Security Advisory über die Schwachstellen, die im Security Advisory von OpenSSL zeitgleich zur 'DROWN'-Schwachstelle (CVE-2016-8000) veröffentlicht wurden und darüber, welche Produkte und Programmversionen möglicherweise von diesen betroffen sind. Die Analysen dazu sind noch nicht abgeschlossen. Bisher ist die Verwundbarkeit u.a. der folgenden Produkte bestätigt: Cisco ASA CX, Cisco Prime Security Manager und Cisco IM and Presence Service (CUPS). Das referenzierte Security Advisory wird aktualisiert, sobald neue Erkenntnisse vorliegen. Cisco plant die Bereitstellung von Sicherheitsupdates und weist darauf hin, dass momentan kein Produkt direkt von der 'DROWN'-Schwachstelle betroffen ist. Betroffene Produkte sollen im referenzierten Advisory in Zukunft deutlich kenntlich gemacht werden.
Version 5 (2016-03-04 13:29): Cisco bestätigt zum gegenwärtigen Zeitpunkt die Verwundbarkeit u.a. für die folgenden Produkte: Cisco Adaptive Security Appliance (ASA), Cisco Finesse, Cisco Jabber, Cisco Prime Infrastructure, Cisco Unity Connection und Cisco WebEx Meeting Center. Das referenzierte Security Advisory wird aktualisiert, sobald neue Erkenntnisse vorliegen. Cisco plant die Bereitstellung von Sicherheitsupdates für Cisco WebEx Meetings Server und Cisco Prime Security Manager und weist darauf hin, dass Cisco ONS 15454 direkt von 'DROWN' betroffen ist.
Version 6 (2016-03-07 15:13): Cisco bestätigt zum gegenwärtigen Zeitpunkt die Verwundbarkeit u.a. für die folgenden Produkte: Cisco Application Control Engine (ACE), Cisco Email Security Appliance (ESA), Cisco Web Security Appliance (WSA), Cisco Enterprise Content Delivery System (ECDS), Cisco IOS und IOS XE, Netzwerk-Switches der Serie Nexus 5000 und verschiedene Produkte der Cisco Telepresence Produktfamilie. Das referenzierte Security Advisory wird aktualisiert, sobald neue Erkenntnisse vorliegen. Cisco weist darauf hin, dass Cisco TelePresence Video Communication Server (VCS) direkt von 'DROWN' betroffen ist. F5 Networks bestätigt in einem Update auf das referenzierte Security Advisory, dass unter anderem BIG-IP Protocol Security Module (PSM) in den Versionen 10.1.0 - 10.2.4 und 11.0.0 - 11.4.1 von 'DROWN' betroffen ist, da das Protokoll SSLv2 dort aktiviert werden kann. Die Untersuchungen zu den Schwachstellen CVE-2016-0703 und CVE-2016-0704 sind noch nicht abgeschlossen.
Version 7 (2016-03-09 13:04): Cisco aktualisiert das referenzierte Security Advisory erneut und stellt weitere Informationen zu betroffenen und nicht betroffenen Cisco Produkten bereit. Unter anderem bestätigt Cisco die Verwundbarkeit der Cisco AnyConnect Secure Mobility Clients für Android, Linux, OS X, Windows und iOS. Ebenfalls verwundbar sind Cisco Wireless LAN Controller und Cisco IPS, diese sind auch direkt von 'DROWN' betroffen. Cisco stellt für erste Produkte Sicherheitsupdates zur Verfügung, nämlich für die Cisco Email Security Appliance (ESA) in Form der Releaseversion 9.8.5 und die Cisco IronPort Web Security Appliance (WSA) über das Release 9.5.0. Für weitere Produkte werden Planungsdaten für Sicherheitsupdates bekannt gegeben.
Version 8 (2016-03-10 13:43): F5 Networks veröffentlicht das Security Advisory sol95463126 für die Schwachstellen CVE-2016-0703 und CVE-2016-0704 und benennt in diesem, neben anderen Versionen für weitere Produkte, die BIG-IP Protocol Security Module Hot Fix Versionen 11.4.1 HF9 und 11.2.1 HF15 als nicht durch die beiden Schwachstellen verwundbar. Cisco ergänzt erneut die Liste der verwundbaren Produkte zu denen jetzt insbesondere weitere Nexus Geräte sowie die Content Security Management Appliance und die FireSIGHT System Software gehören. FreeBSD gibt bekannt, dass alle derzeit unterstützten FreeBSD Versionen von den OpenSSL-Schwachstellen betroffen sind und stellt Sicherheitsupdates für die Version 9.3-STABLE und in Form der Releases 9.3-RELEASE-p38, 10.1-RELEASE-p30, 10.2-RELEASE-p13 sowie 10.2-BETA3 zur Verfügung.
Version 9 (2016-03-16 17:44): Cisco ergänzt erneut die Liste der verwundbaren Produkte zu denen jetzt insbesondere Cisco Aironet 2700 Series Access Points, Geräte der Serie Cisco ASR 5000, Cisco Connected Grid Router, Cisco Application Networking Manager, verschiedene Produkte der WebEx Meetings-Serie, die Cisco Mobility Services Engine, Cisco Network Analysis Module, Cisco Secure Access Control Server (ACS), Cisco Unified Computing System B-Series Blade Servers und Cisco Wide Area Application Services (WAAS) Appliances gehören. Cisco gibt bekannt, dass für Cisco Nexus 4000 Series Blade Switches ein Update auf die Programmversion 4.1(2)E1(1q) für Ende Juni geplant ist und dass die CGOS-Software der Cisco Connected Grid Router, Cisco IPS und weitere Produkte direkt von der 'DROWN'-Schwachstelle betroffen sind.
Version 10 (2016-03-21 12:20): Cisco ergänzt erneut die Liste der verwundbaren Produkte zu denen jetzt insbesondere Cisco IOS-XR sowie Cisco Unified Contact Center Express und Enterprise gehören. Cisco gibt für weitere Produkte die Verwundbarkeit durch die 'Drown'-Schwachstelle (CVE-2016-0800) bekannt, erwähnt aber keine neuen Sicherheitsupdates für betroffene Produkte.
Version 11 (2016-03-29 16:03): F5 Networks informiert darüber, dass u.a. alle Versionen des BIG-IP Protocol Security Modules (11.0.0 - 11.4.1 und 10.1.0 - 10.2.4) von den Schwachstellen CVE-2016-0797 und CVE-2016-0799 betroffen sind.
Version 12 (2016-04-05 17:14): Cisco aktualisiert den referenzierten Sicherheitshinweis erneut, um über die von den Schwachstellen betroffenen Produkte zu informieren. Unter anderem sind verschiedene Geräte der Produktfamilie Cisco TelePresence System und Cisco Application and Content Networking System (ACNS) direkt von der 'DROWN'-Schwachstelle betroffen. Für Cisco ACNS wird die Softwareversion 5.5.41 zur Behebung der Schwachstellen angekündigt, Hinweise auf weitere Updates finden sich auf der Informationsseite des Herstellers.
Version 13 (2016-04-28 14:02): F5 Networks informiert darüber, welche Produkte und Versionen verwundbar sind. Unter anderem ist das BIG-IP Protocol Security Module (PSM) in den Versionen 10.1.0 - 10.2.4 und 11.0.0 - 11.4.1 von der Schwachstelle CVE-2016-2842 betroffen. Der Hersteller hat bisher noch keine Sicherheitsupdates hierfür zur Verfügung gestellt.

Betroffene Software

Sicherheit

Betroffene Plattformen

Hardware
Netzwerk
Cisco
Apple
Linux
Microsoft
UNIX

Beschreibung:

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen, das Ausspähen von Informationen und Denial-of-Service-Angriffe.

Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.0.2g und 1.0.1s zur Verfügung gestellt, um diese Schwachstellen zu beheben. Mit diesem Update wird das SSLv2-Protokoll als Standardvorgabe abgeschaltet und die SSLv2-Export-Kryptoalgorithmen werden entfernt. Zusätzlich werden schwache Kryptoalgorithmen in SSLv3 und höher als Standardvorgabe abgeschaltet.

Schwachstellen:

CVE-2016-0702

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-0703

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen