2018-0584: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-03-28 17:17)

Neues Advisory

Version 2 (2018-03-29 12:23)

Canonical behebt die Schwachstelle CVE-2018-0739 für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 17.10 mittels Backport-Sicherheitsupdates.

Version 3 (2018-04-03 13:53)

Für Fedora 26 und 27 stehen Sicherheitsupdates zur Behebung der beiden Schwachstellen CVE-2018-0733 und CVE-2018-0739 in Form von 'openssl-1.1.0h'-Paketen im Status 'stable' bereit. Für die Debian oldstable (Jessie) und stable (Stretch) Distribution stehen aktualisierte 'openssl'-Pakete bereit, um die Schwachstellen CVE-2017-3738 und CVE-2018-0739 zu beheben. Für Debian Stretch steht zusätzlich ein Sicherheitsupdate in Form des Paketes 'openssl1.0' zur Verfügung, über welches die Schwachstelle CVE-2018-0739 adressiert wird.

Version 4 (2018-04-09 11:48)

Für die Distributionen Fedora 26 und Fedora 27 stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2018-0739 in Form von 'compat-openssl10-1.0.2o-1'-Paketen im Status 'testing' bereit.

Version 5 (2018-04-18 12:41)

Canonical veröffentlicht für Ubuntu 12.04 ESM Sicherheitsupdates, um die Schwachstellen CVE-2017-3735 und CVE-2018-0739 zu beheben.

Betroffene Software

Sicherheit

Betroffene Plattformen

HP
Apple
Linux
Microsoft
UNIX

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mehrere Schwachstellen in OpenSSL ausnutzen, um einen Denial-of-Service (DoS)-Angriff auszuführen, falsche Informationen darzustellen und Informationen auszuspähen.

OpenSSL stellt die offiziellen Releases 1.1.0h und 1.0.2o zur Behebung der Schwachstellen zur Verfügung. Der Patch für die Schwachstelle CVE-2017-3738 war bereits in OpenSSL 1.0.2g implementiert und wird hier nur für den Versionszweig 1.1.x adressiert. Diese Schwachstelle betrifft nur Prozessoren, die über den erweiterten Befehlssatz AVX2 verfügen und eignet sich nur für Angriffe gegen das Diffie-Hellmann (DH1024) Verfahren, nicht gegen elliptische Kurven. Die Schwachstelle CVE-2018-0733 betrifft nur OpenSSL 1.1.x für das Betriebssystem HP-UX in Kombination mit Hardware mit Precision-Architektur und reduziertem Instruktionsset (PA-RISC).

Schwachstellen:

CVE-2017-3738

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2018-0733

Schwachstelle in OpenSSL ermöglicht Darstellung falscher Informationen

CVE-2018-0739

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.