2017-0156: OpenSSL, Node.js: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen und Denial-of-Service-Angriffe

Historie:

Version 1 (2017-01-26 17:57)

Neues Advisory

Version 2 (2017-01-31 11:23)

Cisco veröffentlicht das Security Advisory cisco-sa-20170130-openssl, um über die Betroffenheit von Cisco Produkten durch die Schwachstellen CVE-2017-3730, CVE-2017-3731 und CVE-2017-3732 zu informieren. Zum jetzigen Zeitpunkt stehen noch keine Untersuchungsergebnisse zur Verfügung, sobald das der Fall ist, wird das referenzierte Advisory aktualisiert. Informationen bezüglich der Schwachstelle CVE-2016-7055, die bereits im November 2016 veröffentlicht wurde, werden weiterhin über das Cisco Security Advisory cisco-sa-20161114-openssl bereitgestellt.

Version 3 (2017-02-06 16:51)

Das OpenSSL-Projekt korrigiert seinen Sicherheitshinweis bzgl. der Schwachstelle CVE-2017-3732. Der Originaltext enthielt eine Passage, in der die Schwachstelle durch voreingestellte DHE-Kryptosuiten ausgenutzt werden kann. In der Aktualisierung wird klargestellt, dass die Wiederverwendung von Schlüsseln bei DHE bereits am 17.12.2015 entfernt wurde. Cisco veröffentlicht eine Update des Security Advisories cisco-sa-20170130-openssl, um über die Betroffenheit von Cisco Produkten durch die Schwachstellen CVE-2017-3730, CVE-2017-3731 und CVE-2017-3732 zu informieren. Der Hersteller benennt zahlreiche betroffene Produkte wie z.B. Cisco IOS XR Software, Cisco Nexus Hardware und viele weitere. Die Untersuchungen sind noch nicht abgeschlossen, so dass sich die Liste noch verlängern dürfte.

Version 4 (2017-02-09 17:33)

Für das SUSE Linux Enterprise Module for Web Scripting 12 steht ein Sicherheitsupdate für 'nodejs6' auf das neue Node.js LTS Release 6.9.5 zur Verfügung, durch welches die eingebetteten OpenSSL Sources auf die Version 1.0.2k aktualisiert und somit die entsprechenden Schwachstellen behoben werden.

Version 5 (2017-02-13 10:34)

Für die SUSE Linux Enterprise 12 SP2 Produkte Software Development Kit, Server for Raspberry Pi, Server und Desktop stehen Sicherheitsupdates bereit, welche die aufgeführten Schwachstellen mit Ausnahme der CVE-2017-3730 adressieren.

Version 6 (2017-02-21 11:39)

Cisco informiert in einer Aktualisierung seines Sicherheitshinweises über weitere betroffene Produkte und über die Verfügbarkeit von Sicherheitsupdates unter anderem für Cisco Prime-Produkte, den WebEx Meetings Server und verschiedene Produkte aus der Cisco TelePresence-Serie. Darüber hinaus informiert Cisco darüber, dass keins der eigenen Produkte von der im Februar veröffentlichten Schwachstelle CVE-2017-3733 in OpenSSL 1.1.0 betroffen ist.

Version 7 (2017-03-03 15:19)

Cisco hat seinen Sicherheitshinweises nochmals hinsichtlich betroffener Produkte und Verfügbarkeit von Sicherheitsupdates aktualisiert.

Version 8 (2017-03-14 17:11)

Cisco hat seinen Sicherheitshinweises ein weiteres Mal hinsichtlich der betroffenen Produkte aktualisiert.

Version 9 (2017-03-29 16:14)

Cisco aktualisiert seinen Sicherheitshinweis erneut, um über die laufenden Untersuchungen zu betroffenen Produkten zu berichten. Unter anderem wurden nun ebenfalls Cisco Netzwerk Switches der Serie Cisco Nexus 3000 und die Cisco Mobility Services Engine als verwundbar identifiziert. Für diese und weitere Produkte wurden Sicherheitsupdates angekündigt.

Version 10 (2017-04-03 14:45)

Cisco aktualisiert seinen Sicherheitshinweis erneut, um über die laufenden Untersuchungen zu betroffenen Produkten zu berichten. Unter anderem wurde nun ebenfalls Cisco Finesse als verwundbar identifiziert. Für andere Produkte wurden Sicherheitsupdates angekündigt, oder diese stehen bereits zur Verfügung.

Version 11 (2017-04-11 14:45)

Cisco aktualisiert seinen Sicherheitshinweis erneut, um über die laufenden Untersuchungen zu betroffenen Produkten zu berichten. Für einige Produkte wurden Sicherheitsupdates angekündigt oder stehen bereits zur Verfügung.

Version 12 (2017-04-18 13:24)

Cisco aktualisiert den Sicherheitshinweis zu OpenSSL von Ende Januar erneut und stellt unter anderem Sicherheitsupdates für die Cisco Telepresence-Gerätefamilie (Cisco TelePresence System 1000, 1300, 3000, 500-32, 500-37, TX1310, TX9000 und weitere) bereit. Mittlerweile stehen für fast alle betroffenen Produkte Sicherheitsupdates zur Verfügung oder sind angekündigt. Die Ergebnisse der Untersuchung der Produkte Cisco MediaSense, Cisco Unity Connection und Cisco Network Device Security Assessment Service stehen noch aus.

Version 13 (2017-05-02 13:51)

Cisco aktualisiert den Sicherheitshinweis zu OpenSSL von Ende Januar erneut und informiert darüber, dass die Untersuchungen zu betroffenen Produkten abgeschlossen sind. Cisco Unity Connection wird nun ebenfalls als verwundbar aufgeführt. Für dieses Produkt und viele weitere stehen bereits Sicherheitsupdates zur Verfügung oder sind angekündigt. Die Informationen zu Sicherheitsupdates für Cisco Identity Services Engine (ISE), Cisco Unified Intelligence Center, Cisco IOS XR Software, Cisco Unified Communications Manager und ciscossl stehen noch aus.

Version 14 (2017-06-21 13:38)

Cisco informiert darüber, dass die Schwachstellen in OpenSSL für Cisco IOS XR in Version 6.3.1 behoben wurden.

Version 15 (2018-07-16 12:00)

Fortinet informiert darüber, dass die Schwachstellen in OpenSSL mit FortiOS 5.4.6 und 5.6.0, FortiAnalyzer 5.4.3 und 5.6.0 sowie darauf folgenden Versionen behoben wurden. Die einzelnen Produkte waren nicht von allen genannten Schwachstellen betroffen.

Betroffene Software

Entwicklung
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Cisco
FortiNet
HP
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsvorkehrungen und dadurch das Ausspähen von Informationen oder die Durchführung von Denial-of-Service (DoS)-Angriffen.

Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.1.0d und 1.0.2k zur Verfügung gestellt, um diese Schwachstellen zu beheben. Die Schwachstelle CVE-2016-7055 wurde für OpenSSL 1.1.0 bereits mit der Version 1.1.0c behoben (siehe https://www.openssl.org/news/secadv/20161110.txt).

Das OpenSSL-Projekt weist weiterhin darauf hin, dass der Support für OpenSSL Version 1.0.1 am 31. Dezember 2016 geendet hat. Die Unterstützung für die Versionen 0.9.8 und 1.0.0 endete bereits am 31. Dezember 2015. Für diese werden keine Sicherheitsupdates mehr bereitgestellt.

Schwachstellen:

CVE-2016-7055

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2017-3730

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2017-3731

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2017-3732

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.