2017-1511: mbed TLS: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen

Historie:

Version 1 (2017-08-29 13:10)

Neues Advisory

Version 2 (2017-08-30 11:01)

Für Fedora 25 und 26 sowie Fedora EPEL 6 und 7 stehen Sicherheitsupdates auf mbed TLS 2.6.0 zur Verfügung. Das Sicherheitsupdate für Fedora EPEL 6 befindet sich im Status 'testing', die restlichen Sicherheitsupdates besitzen derzeit noch den Status 'pending'. Ferner informiert der mbed TLS Hersteller in den mbed TLS 2.6.0, 2.1.9 und 1.3.21 Release Notes über weitere Fehlerbehebungen.

Version 3 (2017-09-11 12:43)

Debian stellt das Paket 'mbedtls' für die stabile Distribution Stretch in der Version '2.4.2-1+deb9u1' und für die testing Distribution Buster in der Version '2.6.0-1' als Sicherheitsupdate bereit.

Version 4 (2017-10-17 12:45)

Für openSUSE Leap 42.2 und 42.3 sowie für SUSE Package Hub for SUSE Linux Enterprise 12 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'mbedtls' zur Verfügung.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann die Zertifikatsauthentifizierung in mbed TLS außer Kraft setzen und dadurch Kommunikationsteilnehmer imitieren oder Man-in-the-Middle (MitM)-Angriffe durchführen.

Der Hersteller informiert über die Schwachstelle in mbed TLS ab Version 1.3.10 und allen Versionen des Versionszweigs 2.1, wenn die Zertifikatsauthentifizierungsmethode 'optional' verwendet wird. Die Versionen mbed TLS 1.3.21 und 2.1.9 stehen als Sicherheitsupdates zur Verfügung, mbed TLS 2.6.0 ist ebenfalls nicht von der Schwachstelle betroffen.

Schwachstellen:

CVE-2017-14032

Schwachstelle in mbed TLS ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.