2017-2216: OpenSSL: Zwei Schwachstellen ermöglichen das Auspähen von Informationen

Historie:

Version 1 (2017-12-08 15:04): Neues Advisory
Version 2 (2017-12-11 10:41): Alle Distributionen von FreeBSD sind von der Schwachstelle betroffen. FreeBSD stellt für die Distributionen 11.1-STABLE, 11.1-RELEASE-p6, 10.4-STABLE, 10.4-RELEASE-p5 und 10.3-RELEASE-p26 Sicherheitsupdates für 'openssl' zur Behebung der Schwachstellen zur Verfügung. Zusätzlich stehen Quellcode-Patches zur Verfügung.
Version 3 (2017-12-12 11:01): Für Ubuntu 17.10, 17.04 und 16.04 LTS stehen Sicherheitsupdates für OpenSSL zur Behebung der Schwachstellen zur Verfügung.
Version 4 (2017-12-18 11:07): Es stehen verschiedene neue Backport-Sicherheitsupdates zur Behebung der Schwachstellen in OpenSSL bereit. Debian veröffentlicht ein solches Update für Debian Stretch (stable). SUSE stellt für die SUSE Linux Enterprise Produkte Desktop, Server und Software Development Kit 12 SP2 und SP3 sowie für SUSE Linux Enterprise Server for Raspberry Pi 12 SP2 und die Cloud-Produkte SUSE Container as a Service Platform ALL und OpenStack Cloud Magnum Orchestration 7 ein Sicherheitsupdate bereit. Für openSUSE Leap 42.2 und 42.3 wird das entsprechende Sicherheitsupdate aus dem SUSE:SLE-12-SP2:Update-Projekt importiert.
Version 5 (2017-12-20 15:14): Das Tor Project informiert über die Verfügbarkeit der experimentellen Tor Browser Version 7.5a10, die ein Update auf die OpenSSL Version 1.0.2n umfasst, mittels der die hier aufgeführten Schwachstellen behoben werden. Zusätzlich wird die vom Tor Browser genutzte Tor Version auf den Release Kandidaten 0.3.2.7-rc aktualisiert und eine Reihe weiterer Fehlerkorrekturen umgesetzt.
Version 6 (2018-07-24 19:25): IBM bestätigt die Schwachstellen für alle Fix Pack Levels von IBM DB2 v10.1, v10.5 und v11.1 auf AIX und Linux. IBM DB2 auf Windows ist von den Schwachstellen nicht betroffen. Die Schwachstellen befinden sich im IBM Tivoli Storage FlashCopy Manager (FCM) in Version 4.1, der als Komponente von IBM DB2 mitgeliefert wird. Während dieser auf AIX automatisch installiert wird, ist das für Linux nicht der Fall. Als Sicherheitsupdate stellt IBM fehlerbereinigte Versionen des FCM zur Verfügung.

Betroffene Software

Server
Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann zwei Schwachstellen in OpenSSL ausnutzen, um Informationen auszuspähen.

Der Hersteller hat für OpenSSL 1.0.2 die Version 1.0.2n als Sicherheitsupdate zur Verfügung gestellt. Für OpenSSL 1.1.0, das nur von der Schwachstelle CVE-2017-3738 betroffen ist, hat der Hersteller aufgrund des niedrigen Gefährdungspotentials noch kein Sicherheitsupdate bereit gestellt, sondern pflegt dieses in die kommende Version 1.1.0h ein. Über das OpenSSL Git-Repository steht aber bereits ein Patch zur Verfügung.

Schwachstellen:

CVE-2017-3737

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2017-3738