2016-0451: DROWN: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2016-03-15 13:27)

Neues Advisory

Betroffene Software

Sicherheit

Betroffene Plattformen

Juniper

Beschreibung:

Eine unter dem Namen 'DROWN' bekannte Schwachstelle ermöglicht einem entfernten, nicht authentifizierten Angreifer die TLS-Verschlüsselung eines Servers zu brechen, indem er ausnutzt, dass der private RSA-Schlüssel auch für SSLv2-Testverbindungen verwendet wird. Dadurch kann der Angreifer Sicherheitsvorkehrungen umgehen und beispielsweise sensitive Informationen aus verschlüsselten Verbindungen ausspähen.

Juniper Networks informiert darüber, dass unter anderem ScreenOS und Produkte der Security-Threat-Response-Manager-Serie (STRM/JSA) von DROWN betroffen sind. Für die STRM-Software werden die Programmversionen 2014.6.r4 und 2013.2.r14 als Sicherheitsupdates zur Verfügung gestellt. Das Risiko durch DROWN für Juniper-Produkte wird trotz der Bekanntheit der Schwachstelle als gering (low) eingeschätzt.

Schwachstellen:

CVE-2016-0800

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.