2016-0773: Symantec Messaging Gateway, OpenSSL: Eine Schwachstelle ermöglicht das Ausspähen sensitiver Informationen (Heartbleed)

Historie:

Version 1 (2016-05-13 14:37)

Neues Advisory

Betroffene Software

Sicherheit

Betroffene Plattformen

Beschreibung:

Eine Schwachstelle in der TLS/DTLS Erweiterung Heartbeat ermöglicht es einem entfernten, nicht angemeldeten Angreifer bis zu 64KB Speicherinhalt aus dem Hauptspeicher auszulesen und dadurch Zugriff auf sensitive Daten wie private Schlüssel zu erhalten. Sollte der Angreifer vergangene Kommunikation aufgezeichnet haben, besteht die Gefahr, dass diese nun auch entschlüsselt werden kann. Diese Schwachstelle ist unter dem Namen 'Heartbleed' bekannt.

Im Versionszweig 10.6 des Symantec Messaging Gateway (SMG) ist die Management Konsole für die Schwachstelle CVE-2014-0160 anfällig, da eine zuletzt ausgelieferte ADAPTIVE Communication Environment (ACE)-Bibliothek als Teil der SMG-Software statisch mit einer verwundbaren Version von SSL verknüpft ist. Aufgrund der speziellen Architektur des Symantec Messaging Gateway sind die möglicherweise extrahierbaren Informationen auf Email-Logs beschränkt, die allerdings von einem internen, unprivilegierten Benutzer für weitere Angriffe ausgewertet werden können.

Symantec stellt den Symantec Mail Gateway Appliance Maintenance Release 10.6.1-3 als Sicherheitsupdate bereit.

Schwachstellen:

CVE-2014-0160

Schwachstelle in OpenSSL TLS/DTLS Heartbeat

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.