2016-1555: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. Denial-of-Service-Angriffe

Historie:

Version 1 (2016-09-22 18:12): Neues Advisory
Version 2 (2016-09-23 12:55): Canonical stellt für Ubuntu 16.04 LTS, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS aktualisierte 'libssl'-Pakete und Debian für die Distribution Debian Jessie (stable) aktualisierte 'openssl'-Pakete als Sicherheitsupdates bereit. Das FreeBSD Project stellt für die Versionen 11.0-STABLE, 11.0-RELEASE, 10.3-STABLE, 10.3-RELEASE-p8, 10.2-RELEASE-p21, 10.1-RELEASE-p38, 9.3-STABLE und 9.3-RELEASE-p46 ebenfalls Sicherheitsupdates zur Verfügung. Die Schwachstellen CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 werden von diesen Updates nicht adressiert.
Version 3 (2016-09-23 15:32): F5 Networks stellt ein 'September 2016 OpenSSL Security Vulnerability Announcement' bereit, in dem die Sicherheitshinweise zu den einzelnen Schwachstellen in OpenSSL aufgelistet werden, sobald sie verfügbar sind. Bislang sind die bereits veröffentlichten Sicherheitshinweise zu CVE-2016-2177 und CVE-2016-2178 referenziert. Eine zusätzliche Schwachstelle in OpenVPN (CVE-2016-6329) wird erwähnt, betrifft aber nach derzeitigem Erkenntnisstand keine Produkte von F5. Das Announcement wird von F5 Networks laufend aktualisiert, sobald neue Informationen zu den Schwachstellen zur Verfügung stehen. Die Links zu den Sicherheitshinweisen sind momentan fehlerhaft, die URLs lassen sich aber manuell anhand des Bezeichners 'solXXYYYYYY' richtig stellen. Die Sicherheitshinweise sind mit diesem Bezeichner auch über die AskF5 Knowledge Base auffindbar.
Version 4 (2016-09-26 12:52): Canonical stellt für Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 16.04 LTS aktualisierte Sicherheitsupdates bereit, welche eine mit dem zuvor veröffentlichten Sicherheitsupdate eingeführte Regression beheben (CVE-2016-2182).
Version 5 (2016-09-26 15:57): Für FreeBSD stehen überarbeitete Patches bereit, die eine zuvor eingeführte Regression (CVE-2016-2182) beheben.
Version 6 (2016-09-27 11:24): Für Fedora 23, 24 und 25 stehen Sicherheitsupdates für OpenSSL auf Version 1.0.2j im Status 'testing' bereit, mit denen die Schwachstellen vor Version 1.0.2i und zusätzlich die durch einen Fehler im Update auf 1.0.2i eingeführte Schwachstelle CVE-2016-7052 (Denial-of-Service, DoS) behoben werden (siehe dazu auch das OpenSSL Security Advisory vom 26.09.2016). Die kurzzeitig verfügbare Version OpenSSL 1.0.2i ist für Fedora-Produkte nicht mehr erhältlich. Für SUSE Linux Enterprise Server for SAP 12 und SUSE Linux Enterprise Server 12 LTSS stehen ebenfalls Sicherheitsupdates bereit. Die Schwachstellen CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 werden von diesen Updates nicht adressiert.
Version 7 (2016-09-27 16:25): Für openSUSE 13.2 steht ein Sicherheitsupdate für OpenSSL bereit, welches die Schwachstellen CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 ebenfalls nicht adressiert. Der Patch für die Schwachstelle CVE-2016-6307 hat im Versionszweig 1.1.0 eine neue Schwachstelle (CVE-2016-6309, Ausführung beliebigen Programmcodes) eingeführt, die mittlerweile zusammen mit der Schwachstelle CVE-2016-7052 (Denial-of-Service) aus dem Versionszweig 1.0.2 in einem gesonderten Sicherheitshinweis vom Hersteller veröffentlicht wurde, siehe dazu das OpenSSL Security Advisory vom 26. September 2016. Benutzer von OpenSSL sollten prüfen, ob die von ihnen eingesetzte Version von OpenSSL von diesem nachgelieferten Sicherheitshinweis betroffen ist. Der Hersteller hat bereits neue Sicherheitsupdates zur Verfügung gestellt.
Version 8 (2016-09-27 17:21): Für die Red Hat Enterprise Linux Produkte Desktop 6 und 7, HPC Node 6, 7 und 7.2 EUS, Server 6, 7 , 7.2 AUS und 7.2 EUS sowie Workstation 6 und 7 stehen Sicherheitsupdates für OpenSSL bereit. Die Schwachstellen CVE-2016-6303, CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 werden von diesen Updates nicht adressiert.
Version 9 (2016-09-28 17:57): Für die SUSE Linux Enterprise 12 SP1 Produkte Software Development Kit, Server und Desktop stehen Sicherheitsupdates bereit. Für openSUSE Leap 42.1 steht ebenfalls ein Sicherheitsupdate bereit, allerdings werden die Schwachstellen CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 nicht erwähnt. Für Fedora EPEL 5 steht ebenfalls ein Sicherheitsupdate in Form es Paketes 'openssl101e-1.0.1e-9.el5' im Status 'testing' bereit. Nach dem Update ist ein Neustart des Systems erforderlich. Die Schwachstellen CVE-2016-6303, CVE-2016-6305, CVE-2016-6307 und CVE-2016-6308 werden nicht adressiert. Cisco veröffentlicht eine Sicherheitsmeldung und bestätigt nach einer ersten Analyse die Verwundbarkeit der Produkte Cisco Expressway Series, Cisco FireSIGHT System Software, Cisco Prime Collaboration Deployment, Cisco Prime Network Registrar, Cisco Secure Access Control System (ACS), Cisco Unified Communications Manager, Cisco Unified Communications Manager IM & Presence Service, Cisco WebEx Meetings Center, Cisco WebEx Meetings Server 1.x und 2.x, Cisco Connected Grid Router und Connected Grid Router running CG-OS, Cisco TelePresence MX Series, Cisco TelePresence SX Series, Cisco TelePresence System EX Series, Cisco TelePresence Video Communication Server (VCS) sowie weiterer Produkte. Cisco gibt an, dass eine Untersuchung zu weiteren Produkten derzeit noch andauert und die Sicherheitsmeldung laufend zu den Erkenntnissen aktualisiert wird. Cisco gibt außerdem an, dass kein Produkt von den Schwachstellen CVE-2016-6305, CVE-2016-6307, CVE-2016-6308, CVE-2016-6309 und CVE-2016-7052 betroffen ist. Oracle veröffentlicht Sicherheitsupdates für Oracle VM Server 3.3 und 3.4 sowie Oracle Linux 6 und 7, mit denen die Schwachstellen des Versionszweigs 1.0.1 mit Ausnahme von CVE-2016-6303 behoben werden und CVE-2016-2183 mitigiert wird. Zusätzlich werden für Oracle VM Server 3.3 und 3.4 Schwachstellen aus den OpenSSL Sicherheitshinweisen von März und Mai geschlossen (CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109, CVE-2016-0799).
Version 10 (2016-09-29 15:28): Cisco aktualisiert den referenzierten Sicherheitshinweis und weist darauf hin, dass zusätzlich unter anderem die Produkte Cisco Application and Content Networking System (ACNS), Cisco ASA Next-Generation Firewall Services, Cisco Jabber Guest, Cisco NAC Appliance, Cisco NAC Guest Server, Cisco Nexus 1000V Series Switches, Cisco ONS 15454 Series Multiservice Provisioning Platforms, Cisco Security Manager, Cisco UCS Director , Cisco WebEx Meetings Client - Hosted, Cisco WebEx Meetings for Android und Cisco Wireless LAN Controller verwundbar sind. Momentan werden 154 weitere Produkte untersucht, Cisco Prime Home und der Cisco Prime Network Registrar IP Address Manager (IPAM) sind nicht verwundbar. Mit Fortschreiten der Untersuchungen stellt Cisco im referenzierten Sicherheitshinweis Cisco Bug IDs für die einzelnen Produkte zur Verfügung, mit denen über das Cisco Bug Search Tool weitere Informationen zu aktualisierter Software und Workarounds zur Verfügung gestellt werden.
Version 11 (2016-09-30 14:55): Cisco aktualisiert den referenzierten Sicherheitshinweis erneut, um über verwundbare Produkte und die Verfügbarkeit erster Sicherheitsupdates zu informieren. Interne Untersuchungen haben ergeben, dass unter anderem die Produkte Cisco ACE 4710 Application Control Engine mit Software Release A5, Cisco ACE30 Application Control Engine Module, Cisco Aironet 2700 Series Access Points, Cisco Intrusion Prevention System (IPS) Solutions, Cisco Nexus 4000 Series Blade Switches, Cisco Nexus 5000 Series Switches, Cisco Nexus 9000 Series Fabric Switches - ACI mode, Cisco Prime Data Center Network Manager, Cisco Prime Infrastructure, Cisco TelePresence Conductor, Cisco TelePresence Serial Gateway Series, Cisco UCS 6200 Series and 6300 Series Fabric Interconnects, Cisco UCS Central Software und Cisco WebEx Meetings for Windows Phone 8 verwundbar sind. Für Cisco UCS 6200 Series and 6300 Series Fabric Interconnects und Cisco WebEx Meetings for Windows Phone 8 sind bereits Sicherheitsupdates geplant. Weitere Sicherheitsupdates sind für Cisco ASA Next-Generation Firewall Services, Cisco Nexus 1000V Series Switches, Cisco Security Manager Cisco WebEx Meetings Client (Hosted und On-Premises) und die Cisco FireSIGHT System Software angekündigt und für spezielle Softwareversionen bereits verfügbar. Für Cisco NAC Appliances wird kein Fix erwartet, weitere 125 Produkte oder Produktserien werden noch untersucht.
Version 12 (2016-10-04 16:26): Cisco aktualisiert den referenzierten Sicherheitshinweis erneut und listet jetzt u.a. auch verschiedene AnyConnect Produkte sowie IOS und Cisco IOS XE als verwundbar auf.
Version 13 (2016-10-05 14:16): F5 Networks informiert in einem gesonderten Sicherheitshinweis darüber, welche Produkte und Programmversionen von der Schwachstelle CVE-2016-2183 (Sweet32) betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module (PSM) in den Versionen 10.2.1 - 10.2.4 und 11.4.0 - 11.4.1 auch durch diese Schwachstelle in OpenSSL verwundbar. Es stehen noch keine Sicherheitsupdates zur Verfügung.
Version 14 (2016-10-05 21:09): Für SUSE Studio Onsite 1.3, SUSE OpenStack Cloud 5, SUSE Manager Proxy 2.1 und SUSE Manager 2.1 sowie die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4; Server 11 SP4, 11 SP3 LTSS und 11 SP2 LTSS; Debuginfo 11 SP4, 11 SP3 und 11 SP2 stehen Sicherheitsupdates für OpenSSL bereit, durch die 10 Schwachstellen behoben werden.
Version 15 (2016-10-06 18:47): Cisco aktualisiert den referenzierten Sicherheitshinweis erneut hinsichtlich der Liste der untersuchten und verwundbaren Produkte.
Version 16 (2016-10-07 12:34): Für die SUSE Linux Enterprise Produkte Server 11 SECURITY, Server for SAP 12 SP1, Module for Legacy Software 12 und Desktop 12 SP1 und stehen Sicherheitsupdates für OpenSSL bereit, durch die 10 Schwachstellen behoben werden.
Version 17 (2016-10-11 13:40): Cisco weist in einer erneuten Aktualisierung des referenzierten Sicherheitshinweises darauf hin, dass weitere Nexus-Netzwerkswitches sowie die Web Security Appliance (WSA) und die Email Security Appliance (ESA) von den Schwachstellen betroffen sind. Darüber hinaus sind Produkte aus der Cisco Prime Collaboration Produktserie und die Cisco UCS Central Software betroffen. Für viele der betroffenen Produkte sind mittlerweile Sicherheitsupdates angekündigt oder verfügbar.
Version 18 (2016-10-13 19:10): Juniper veröffentlicht eine Sicherheitsmeldung für verschiedene Produkte und informiert darin über Sicherheitsupdates bezüglich aller OpenSSL-Schwachstellen seit der Veröffentlichung des OpenSSL Security Advisory vom 03. Dezember 2015. Unter anderem werden darin verschiedene Sicherheitsupdates für Junos OS, ScreenOS und Junos Space bereitgestellt, welche unterschiedliche Untermengen an Schwachstellen entsprechend den OpenSSL Advisories behandeln. Nähere Informationen entnehmen Sie bitte der angehängten Referenz (Juniper Security Bulletin JSA10759). Die Sicherheitsupdates für die Junos OS Versionen 13.3R10, 14.1R9, 14.1X53-D40, 14.2R8, 15.1R5 und 16.1R4 zur Behebung der Schwachstellen des OpenSSL Security Advisory für März, Mai und September 2016 stehen derzeit noch im Status 'pending'. Außerdem verweist Juniper darauf, dass ScreenOS 6.3.0r23 und Junos Space 16.1R1 (Status 'pending') nur die Schwachstellen bis einschließlich OpenSSL Security Advisory Mai 2016 beheben und Sicherheitsupdates für die neueren Schwachstellen über die PR-Nummern 'PR 1217005' (ScreenOS) und 'PR 1216998' (Junos OS) nachverfolgt werden können. Cisco aktualisiert den referenzierten Sicherheitshinweis und informiert über weitere betroffene Produkte und verfügbare Updates.
Version 19 (2016-10-14 17:52): Für openSUSE Leap 42.1 stehen Sicherheitsupdates für 'opencompat-openssl098' bereit, durch die 10 Schwachstellen behoben werden.
Version 20 (2016-10-17 12:01): Für die SUSE Linux Enterprise Produkte Server for SAP 11 SP3 und 11 SP4 sowie Debuginfo 11 SP4 steht ein Backport-Sicherheitsupdate für 'compat-openssl097g' bereit, mit dem die Schwachstellen CVE-2016-2177, CVE-2016-2182, CVE-2016-2183, CVE-2016-6303 und CVE-2016-6306 behoben werden. Für Oracle VM Server 3.2 steht ein Backport-Sicherheitsupdate bereit, das die Schwachstellen CVE-2016-2177, CVE-2016-2178, CVE-2016-2182, CVE-2016-2183 und CVE-2016-6306 adressiert. Cisco aktualisiert seinen Sicherheitshinweis erneut und informiert über betroffene Produkte und darüber, welche Produkte noch untersucht werden. Unter anderem ist der Cisco Application Policy Infrastructure Controller (APIC) betroffen. Für diesen steht noch kein Sicherheitsupdate zur Verfügung.
Version 21 (2016-10-17 13:01): Für Oracle Linux 5 (i386, ia64, x86_64) stehen Backport-Sicherheitsupdates bereit, welche die Schwachstellen CVE-2016-2177, CVE-2016-2178, CVE-2016-2182, CVE-2016-2183 und CVE-2016-6306 adressieren.
Version 22 (2016-10-19 15:01): Juniper aktualisiert seine Sicherheitsmeldung JSA10759 und ergänzt in der ScreenOS Problemsektion weitere CVEs, die als behoben gelten bzw. ScreenOS nicht betreffen. Nähere Informationen entnehmen Sie bitte der angehängten Referenz (Juniper Security Bulletin JSA10759).
Version 23 (2016-10-20 18:22): Cisco aktualisiert seinen Sicherheitshinweis erneut und informiert über betroffene Produkte und darüber, welche Produkte noch untersucht werden. Unter anderem sind Cisco ASR 5000 Series Router / Switches betroffen. Für diese werden Sicherheitsupdates für Ende April 2017 avisiert.
Version 24 (2016-10-25 13:17): F5 Networks informiert in einem gesonderten Sicherheitshinweis darüber, welche Produkte und Programmversionen von der Schwachstelle CVE-2016-6306 betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module (PSM) in den Versionen 10.2.1 - 10.2.4 und 11.4.0 - 11.4.1 auch durch diese Schwachstelle in OpenSSL verwundbar. Es stehen noch keine Sicherheitsupdates zur Verfügung.
Version 25 (2016-10-27 13:30): Cisco aktualisiert den referenzierten Sicherheitshinweis erneut und informiert über betroffene Produkte und darüber, welche Produkte noch untersucht werden. Unter anderem sind die Cisco Mobility Services Engine (MSE) und das Betriebssystem Cisco IOS XR verwundbar. Für Cisco IOS XR und den Großteil der aktuell 230 betroffenen Produkte und Produktserien stehen Informationen zum geplanten Release der Sicherheitsupdates oder die Sicherheitsupdates selbst bereit. Die Untersuchung von 16 weiteren Produkten, darunter auch die Netzwerkswitches der Produktserie Cisco Nexus 3000, ist noch nicht abgeschlossen.
Version 26 (2016-10-28 13:24): Juniper aktualisiert seine Sicherheitsmeldung JSA10759 und ergänzt die Sektion 'Fixed Junos OS Releases'. Die zuvor genannten Versionen von Junos OS für das OpenSSL September 2016 Advisory 14.1X53-D40 und 16.1R4 werden darin nun nicht mehr aufgeführt, dafür sind die Versionen 14.1X55-D35, 15.1F5-S5, 15.1R4-S5, 16.1R3 aufgenommen worden. Der Status dieser Updates ist nach wie vor 'Pending'. Nähere Informationen entnehmen Sie bitte der angehängten Referenz (Juniper Security Bulletin JSA10759).
Version 27 (2016-10-31 11:12): Cisco weist in einer Aktualisierung des referenzierten Sicherheitshinweises darauf hin, dass die Cisco Identity Services Engine (ISE) und Cisco Netzwerkswitches der Produktserie Cisco Nexus 3000 ebenfalls von den Schwachstellen in OpenSSL betroffen sind. Es stehen noch keine Sicherheitsupdates zur Verfügung.
Version 28 (2016-10-31 15:26): F5 Networks informiert mit Sicherheitshinweis sol59298921 darüber, welche Produkte und Programmversionen von der Schwachstelle CVE-2016-2181 in OpenSSL betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module (PSM) in den Versionen 10.2.1 - 10.2.4 durch einen Denial-of-Service-Angriff über das User Datagram Protocol (UDP) verwundbar, allerdings nur wenn auf virtuellen Servern SSL-Profile mit COMPAT-Chiffren eingesetzt werden. Die Programmversionen 11.4.0 - 11.4.1 sind nicht verwundbar.
Version 29 (2016-11-01 10:13): F5 Networks informiert mit Sicherheitshinweis sol23512141 darüber, welche Produkte und Programmversionen von der Schwachstelle CVE-2016-2179 in OpenSSL betroffen sind. Unter anderem ist das BIG-IP Protocol Security Module (PSM) in den Versionen 10.2.1 - 10.2.4 und die Version 11.2.1 durch einen Denial-of-Service-Angriff über das User Datagram Protocol (UDP) verwundbar, allerdings nur wenn auf virtuellen Servern SSL-Profile verwendet werden. Die Programmversionen 11.4.0 - 11.4.1 sind nicht verwundbar.
Version 30 (2016-11-07 12:30): F5 Networks veröffentlicht den Sicherheitshinweis sol01276005, um darüber zu informieren, dass unter anderem das BIG-IP Protocol Security Module (PSM) in den Versionen 11.4.0 - 11.4.1 und die Version 10.2.4 durch die Denial-of-Service-Schwachstelle CVE-2016-2182 verwundbar ist. Sicherheitsupdates stehen derzeit nicht zur Verfügung.
Version 31 (2016-11-15 12:09): Juniper aktualisiert das Juniper Security Bulletin JSA10759, um über die Verfügbarkeit von Sicherheitsupdates für die Juniper Network and Security Manager (NSM) Appliance Software zu informieren. Die OpenSSL Software, die in der NSM Server Software verwendet wird, wurde in der NSM Version 2012.2R13 auf die Version 1.0.2h aktualisiert, um die bis Mai 2016 gemeldeten Schwachstellen in OpenSSL zu adressieren. Für die auf CentOS 6 basierende NSM Appliance Software ist das gZip v4 Release des Betriebssystem-Images zu verwenden, um das korrigierte OpenSSL RPM zu erhalten. Nutzer von CentOS 5 erhalten kein gesondertes Update. Kunden, welche die NSM Server Software auf einem Linux oder Solaris Server einsetzen, werden angehalten die Sicherheitsupdates des Betriebssystemherstellers zu installieren.
Version 32 (2016-11-22 16:21): IBM informiert darüber, dass die Schwachstellen in OpenSSL auch IBM Security Network Protection 5.3.1, 5.3.2 und 5.3.3 betreffen, und stellt die IBM Security Network Protection Firmware Versionen 5.3.1.11, 5.3.2.5 und 5.3.3.1 als Sicherheitsupdates bereit sowie Informationen zur Installation.
Version 33 (2016-11-22 16:58): IBM bestätigt, dass die meisten der Schwachstellen in OpenSSL auch IBM AIX 5.3, 6.1, 7.1, 7.2 und IBM VIOS 2.2.x betreffen und stellt Sicherheitsupdates zur Verfügung. Die Schwachstelle CVE-2016-7052 wird zusätzlich adressiert.
Version 34 (2016-12-01 12:44): Juniper aktualisiert seinen Sicherheitshinweis zu OpenSSL und weist darauf hin, dass neue Versionen von Junos OS zur Behebung der Schwachstellen aus dem September 2016 Advisory von OpenSSL zur Verfügung gestellt werden. Die Schwachstellen werden jetzt auch durch die Versionen 12.1X46-D65, 15.1X49-D70 und 16.1R4 sowie alle auf diese folgenden Versionen des Betriebssystems behoben.
Version 35 (2017-02-03 17:52): IBM informiert darüber, dass IBM Security Access Manager Appliances von den OpenSSL-Schwachstellen betroffen ist und stellt Sicherheitsupdates bereit. Für IBM Security Access Manager for Web (appliance) im Versionszweig 7.0 wird die Installation des Interim Fixes 28 empfohlen. Für IBM Security Access Manager for Web und IBM Security Access Manager for Mobile im Versionszweig 8.0 wird das Update auf Version 8.0.1.5 empfohlen. Für IBM Security Access Manager im Versionszweig 9.0 wird das Update auf Version 9.0.2.1 empfohlen.
Version 36 (2017-04-03 19:06): FortiGuard veröffentlicht einen Sicherheitshinweis, um über die Betroffenheit der FortiOS Versionen 5.4.1, 5.4.0 und 5.2.9, der FortiAnalyzer Versionen 5.4.1, 5.4.0 und 5.2.9 sowie der FortSwitch Version 3.5.0 von den OpenSSL-Schwachstellen zu informieren. Die Fortinet-Produkte sind über unterschiedliche Teilmengen der Schwachstellen angreifbar. Als Sicherheitsupdates stehen die FortiOS und FortiAnalyzer Versionen 5.2.10, 5.4.2 und 5.6.0 sowie die FortiSwitch Firmware Version 3.5.1 zur Verfügung.
Version 37 (2017-04-05 15:59): FortiGuard hat eine Änderung an seinem Advisory-Portal vorgenommen, wodurch die Informationen zu den Fortinet-Produkten über die zuvor veröffentlichte Referenz nicht mehr aufgerufen werden können. Die aktualisierte Referenz (anbei) enthält eine URL, über welche die Informationen nun wieder verfügbar sind. Eine inhaltliche Änderung gab es nicht.
Version 38 (2017-04-24 12:54): Cisco hat seine Sicherheitsmeldung aktualisiert und hat seine Information bezüglich des Sicherheitsupdates ('Fixed Release') für Cisco Email Security Appliance (ESA) überarbeitet. Das Release 11.0 wird für den 01.05.2017 angekündigt.
Version 39 (2017-04-26 13:56): Cisco aktualisiert seinen Sicherheitshinweis erneut und weist darauf hin, dass auch Cisco Nexus 1000V InterCloud und Cisco Unified Contact Center Enterprise von den Schwachstellen betroffen sind. Die Untersuchungen zu betroffenen Produkten scheinen damit abgeschlossen zu sein, es stehen aber noch nicht für alle betroffenen Produkte Sicherheitsupdates zur Verfügung.
Version 40 (2017-05-09 11:39): Juniper aktualisiert seine Sicherheitsmeldung JSA10759 erneut, um klarzustellen, dass die Aktualisierung für Junos OS die in CVE-2016-2183 beschriebene Mitigation der OpenSSL Chiffrengruppe (DES und Triple DES wurden von der Gruppe 'HIGH' nach 'MEDIUM' verschoben) beinhaltet, aber nicht alle Versionen von Junos OS derzeit die Chiffrengruppe 'MEDIUM' ausschließen. Juniper kündigt für alle unterstützten Versionen diesbezüglich ein Update an.
Version 41 (2017-05-10 14:48): Juniper aktualisiert seine Sicherheitsmeldung JSA10759 erneut und informiert darüber, dass Junos Space auf Version openssl-1.0.1e-57.el6 in 17.1R1 aktualisiert wurde (erwartet zum Ende Q2/2017), um die in den OpenSSL Advisories vom Juni und September 2016 behandelten Schwachstellen zu adressieren.
Version 42 (2017-05-23 11:22): Juniper aktualisiert seine Sicherheitsmeldung JSA10759 erneut und informiert darüber, dass die Junos OS Versionen 12.1X46-D66, 12.3X48-D50, 14.1R9, 14.2R8, 15.1R7, 15.1X49-D80, 16.1R5, 16.2R2 und 17.1R3 nun die Cipherstring-Gruppe 'Medium' ausschließen. Damit wird die Schwachstelle CVE-2016-2183 adressiert.
Version 43 (2017-09-18 17:45): Cisco finalisiert seinen Sicherheitshinweis bezüglich der Informationen zu Sicherheitsupdates (Fixed Release Information). Es stehen allerdings nicht für alle betroffenen Produkte Sicherheitsupdates zur Verfügung.
Version 44 (2018-12-20 11:13): Cisco informiert in einem Update seines Sicherheitshinweises zu den OpenSSL-Schwachstellen darüber, dass im Gegensatz zu früheren Meldungen Cisco ESA 10.x niemals die Sicherheitsupdates erhalten hat. Cisco ESA 11.0 gilt weiterhin als fehlerbereinigte Version.
Version 45 (2019-01-03 12:20): Cisco hat seinen Sicherheitshinweis zu den OpenSSL-Schwachstellen aktualisiert und führt nun Cisco Content Security Management Appliance (SMA) 11.0.0-115 als fehlerbereinigte Version auf.

Betroffene Software

Netzwerk
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
Cisco
Cloud
FortiNet
IBM
Juniper
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer in den meisten Fällen die Durchführung von Denial-of-Service (DoS)-Angriffen, aber auch das Umgehen von Sicherheitsvorkehrungen und in der Folge das Ausspähen von Informationen sowie möglicherweise weitere, nicht näher spezifizierte Angriffe.

Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.1.0a, 1.0.2i und 1.0.1u zur Verfügung gestellt, um diese Schwachstellen zu beheben.

Die Mitigation für SWEET32 (CVE-2016-2183) wurde bereits mit OpenSSL 1.1.0 Release eingeführt, indem die angreifbaren Ciphersuiten per Voreinstellung deaktiviert wurden.

Der Hersteller weist darauf hin, dass die Unterstützung von OpenSSL 1.0.1 am 31.12.2016 endet. Benutzer von OpenSSL 1.0.1 werden gebeten, auf die Versionszweige 1.0.2 oder 1.1.0 zu wechseln.