DFN-CERT

Advisory-Archiv

2016-0403: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2016-03-08 14:01)
Neues Advisory

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen, Ausspähen von Informationen und das Durchführen von Denial-of-Service (DoS)-Angriffen.

Für SUSE Linux Enterprise Server 10 SP4 LTSS stehen Backport-Sicherheitsupdates zur Verfügung, die zum Einen die Schwachstellen CVE-2016-0797, CVE-2016-0799 und CVE-2016-0800 (DROWN) adressieren, die auch mit den aktuellen OpenSSL Sicherheitsupdates in Form der neuen Versionen 1.0.2g und 1.0.1s behoben wurden (OpenSSL Security Advisory 20160301, siehe Referenzen). Mit diesem Update wird das SSLv2-Protokoll als Standardvorgabe abgeschaltet und schwache EXPORT Chiffren deaktiviert.

Zum Anderen werden die Schwachstellen CVE-2015-0287, CVE-2015-3195 und CVE-2015-3197 behoben, welche von OpenSSL bereits mit früheren Versionen geschlossen wurden. Ferner weist SUSE darauf hin, dass die Schwachstellen CVE-2016-0703 und CVE-2016-0704, aus dem OpenSSL Security Advisory 20160301, bereits mit dem Fix für die Schwachstelle CVE-2015-0293 vom 19. März 2015 behoben wurden.

Schwachstellen:

CVE-2015-0287

Speicherkorruptions-Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2015-0293

Schwachstelle in SSLv2-Servern ermöglicht Denial-of-Service-Angriff

CVE-2015-3195

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2015-3197

Schwachstelle in OpenSSL ermöglicht das Umgehen von Sicherheitsmaßnahmen

CVE-2016-0703

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2016-0704

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2016-0797

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2016-0799

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2016-0800

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.