2016-1391: OpenSSL: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen und Ausspähen von Informationen

Historie:

Version 1 (2016-08-26 13:43)

Neues Advisory

Version 2 (2016-12-02 17:52)

IBM informiert über die Verwundbarkeit von IBM Mobile Connect in Version 6.1.5.2 für 'Sweet32: Birthday Attacks' und stellt den Fix IV90603 zur Verfügung.

Version 3 (2016-12-20 18:49)

IBM informiert über die Verwundbarkeit von IBM DB2 V9.7, V10.1, V10.5 und V11.1 Editionen auf AIX, Linux, HP, Solaris oder Windows für 'Sweet32: Birthday Attacks' und kündigt an, dass zukünftige Fix Packs die Auswahl und Verwendung der unsicheren Triple-DES-Chiffren nicht mehr erlauben werden. Ferner informiert IBM über Konfigurationsmöglichkeiten zur Vermeidung des Risikos.

Version 4 (2017-01-31 18:57)

IBM informiert über die Verwundbarkeit von Content Collector for IBM Connections 3.0, 4.0 und 4.0.1 auf Windows für 'Sweet32: Birthday Attacks' und stellt IBM Connections 4.0.0.3 Interim Fix 005, IBM Connections 4.0.1.3 Interim Fix 001 und IBM Connections 4.0.1.4 Interim Fix 001 als Sicherheitsupdates zur Verfügung.

Version 5 (2017-05-02 20:28)

IBM informiert darüber, dass das GSKit verwundbar gegenüber Sweet32 Birthday Attacks gegen 64-bit Block-Chiffren in TLS ist und Tivoli Storage Manager (IBM Spectrum Protect) Server in allen Versionen von 5.5, 6.1 und 6.2 (diese Releases sind EOS), 6.3.0.0 - 6.3.6.0, 7.1.0.0 - 7.1.7.0 und 8.1 bevor Version 8.1.1 davon betroffen sind. IBM hat die IBM Tivoli Storage Manager (IBM Spectrum Protect) Server Versionen 6.3.6.100, 7.1.7.100 und 8.1.1.000 als Sicherheitsupdates für AIX, Linux und Windows bereitgestellt und gibt Hinweise zur Installation. Kunden die Releases bis einschließlich 6.2 einsetzen werden angewiesen, auf die unterstützten Versionszweige zu aktualisieren. Die Sicherheitsupdates in den Versionszweigen 6.3 und 7.1 sind auch für HP-UX verfügbar.

Version 6 (2017-06-07 16:14)

IBM informiert im IBM Security Bulletin 2003558 darüber, dass IBM Tivoli Access Manager for e-business 6.1 und 6.1.1 sowie IBM Security Access Manager for Web 7.0 von der Schwachstelle in OpenSSL betroffen sind. Für IBM Security Access Manager 7.0 steht ein Interim Fix zur Behebung der Schwachstelle zur Verfügung. Benutzern von IBM Tivoli Access Manager for e-business 6.1 und 6.1.1 wird ein Upgrade auf IBM Security Access Manager 7 empfohlen. Für den Fall, dass der Interim Fix nicht eingespielt werden kann oder ein Upgrade nicht möglich ist, stellt IBM über dieselbe Referenz detaillierte Handlungsanweisungen zur Mitigation der Schwachstelle bereit.

Version 7 (2017-09-06 20:27)

IBM informiert darüber, dass die Schwachstelle im GSKit auch IBM Tivoli Directory Server und IBM Security Directory Server for AIX betrifft. Betroffen sind AIX 5.3, 6.1, 7.1, 7.2 und VIOS 2.2.x mit den folgenden Levels, wenn der betreffend IBM Tivoli Directory Server oder IBM Security Directory Server installiert ist: für ITDS 6.2 geringer 6.2.0.52, für ITDS 6.3.0 geringer 6.3.0.45, für ISDS 6.3.1 geringer 6.3.1.20 und für ISDS 6.4.0 geringer 6.4.0.11.

Version 8 (2017-10-19 20:23)

IBM informiert darüber, dass die Schwachstelle im GSKit neben AIX auch IBM Tivoli Directory Server und IBM Security Directory Server auf AIX, HP-UX, Linux, Solaris und Windows betrifft. Betroffen sind IBM Tivoli Directory Server 6.2 geringer 6.2.0.52 und 6.3 geringer 6.3.0.45, IBM Security Directory Server 6.3.1 geringer 6.3.1.20 und 6.4 geringer 6.4.0.11. Ferner betroffen ist IBM Security Directory Suite 8.0 und 8.0.1 geringer 8.0.1.1.

Version 9 (2019-02-08 14:39)

Fortinet informiert über die Schwachstelle unter anderem in FortiAnalyzer 5.2.9 und darunter, 5.4.0, 5.4.1, 5.4.6 und darüber für den 5.4 Zweig sowie 6.0.2 und empfiehlt, FortiAnalyzer 5.2.10 und darüber für den 5.2 Zweig, 5.4.2 bis 5.4.5, 5.6.0 und darüber für den 5.6 Zweig, 6.0.0, 6.0.1, 6.0.3 oder neuere Versionen zu verwenden.

Version 10 (2019-05-21 15:05)

Für Red Hat Quay Enterprise 3 x86_64 steht Red Hat Quay Version 3.0.2 als Sicherheitsupdate bereit, um die Schwachstelle in SSL/TLS zu beheben.

Version 11 (2019-09-27 12:38)

Red Hat stellt ein Sicherheitsupdate für Red Hat OpenShift Container Platform 4.1 für Red Hat Enterprise Linux 7 zur Verfügung, um die Schwachstelle zu schließen.

Betroffene Software

Datensicherung
Entwicklung
Netzwerk
Office
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
FortiNet
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Eine Schwachstelle in OpenSSL ermöglicht einem entfernten, nicht authentisierten Angreifer aufgrund der möglichen Verwendung des unsicheren Kryptoalgorithmus 'Triple-DES' in TLS-Verbindungen den Sicherheitsmechanismus der Verschlüsselung aufzubrechen und infolgedessen sensible Informationen auszuspähen.

OpenSSL veröffentlicht zur Mitigation der Schwachstelle die Versionen 1.0.1u und 1.0.2i, in denen die Einstufung der Verschlüsselungsgüte für die verwundbaren DES-Algorithmen von 'HIGH' auf 'MEDIUM' herabgesetzt wurde, um deren Verwendung und dadurch die Ausnutzbarkeit der Schwachstelle einzuschränken. Zusätzlich werden mit der neuen OpenSSL Version 1.1.0 der 'Triple-DES'-Algorithmus standardmäßig deaktiviert und weitere Verbesserungen zur Anhebung des Sicherheitsniveaus umgesetzt, indem beispielsweise eine Reihe als unsicher anzusehender Algorithmen entfernt wurden.

Schwachstellen:

CVE-2016-2183

Schwachstelle in SSL/TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.