2017-2316: Bouncy Castle: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2017-12-22 13:55)

Neues Advisory

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann verschlüsselte Verbindungen, die durch den Austausch von RSA-Schlüsseln initiiert wurden, über die Auswertung von Fehlermeldungen eines TLS-Servers für einem Chosen-Ciphertext-Angriff (Bleichenbacher-Angriff) gegen den TLS-Server ausnutzen und in der Folge private Schlüssel ausspähen.

Der Hersteller hat einen Patch zur Behebung der Schwachstelle zur Verfügung gestellt und kündigt an, dass die Schwachstelle mit Version 1.59 der Software behoben wird.

Für die stabile Distribution Debian Stretch steht mit der 'bouncycastle'-Version 1.56-1+deb9u1 ein Sicherheitsupdate zur Verfügung.

Schwachstellen:

CVE-2017-13098

Schwachstelle in Bouncy Castle ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.