DFN-CERT

Advisory-Archiv

2016-0359: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsmechanismen

Historie:

Version 1 (2016-03-01 19:23)
Neues Advisory
Version 2 (2016-03-02 12:13)
Für Fedora EPEL 5, in Form des Paketes openssl101e-1.0.1e-7.el5 im Status 'testing', und Red Hat Enterprise Linux ELS (v. 4) stehen ebenfalls Sicherheitsupdates zur Verfügung.
Version 3 (2016-03-09 18:20)
Für Red Hat Enterprise Virtualization 3 stehen Sicherheitsupdates in Form aktualisierter rhev-hypervisor-Pakete zur Verfügung.
Version 4 (2016-03-15 12:49)
Für Red Hat JBoss Web Server 2.1.0 und 3.0.2 (für Microsoft Windows und Solaris) stehen Sicherheitsupdates für OpenSSL zur Verfügung, die die Schwachstellen CVE-2015-0293, CVE-2015-3197 und CVE-2016-0800 beheben.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX
Virtualisierung

Beschreibung:

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen, das Ausspähen von Informationen und Denial-of-Service-Angriffe.

Für zahlreiche Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen unterschiedliche Backport-Sicherheitsupdates zur Verfügung, die im Wesentlichen jene Schwachstellen adressieren, die mit den aktuellen OpenSSL Sicherheitsupdates in Form der neuen Versionen 1.0.2g und 1.0.1s behoben wurden, zusätzlich aber auch die Schwachstelle CVE-2015-3197, die von OpenSSL bereits mit dem Sicherheitsupdate vom 28. Januar 2016 behoben wurde.

Mit diesem Update wird das SSLv2-Protokoll als Standardvorgabe abgeschaltet und die SSLv2-Export-Kryptoalgorithmen werden entfernt. Zusätzlich werden schwache Kryptoalgorithmen in SSLv3 und höher als Standardvorgabe abgeschaltet.

Schwachstellen:

CVE-2015-0293

Schwachstelle in SSLv2-Servern ermöglicht Denial-of-Service-Angriff

CVE-2015-3197

Schwachstelle in OpenSSL ermöglicht das Umgehen von Sicherheitsmaßnahmen

CVE-2016-0702

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-0705

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2016-0797

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2016-0800

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.