2018-0720: OpenSSL: Eine Schwachstelle ermöglicht das Ausspähen des privaten RSA-Schlüssels

Historie:

Version 1 (2018-04-17 14:42)

Neues Advisory

Version 2 (2018-04-20 12:16)

Canonical stellt für Ubuntu 17.10, 16.04 LTS, 14.04 LTS und 12.04 ESM Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Version 3 (2018-07-04 18:07)

IBM informiert darüber, dass die Schwachstelle in OpenSSL auch AIX 5.3, 6.1, 7.1, 7.2 und VIOS 2.2.x betrifft und stellt einen Fix als Sicherheitsupdate zum Download sowie Informationen zum Entpacken und zur Installation desselben bereit.

Version 4 (2018-08-24 11:30)

Für SUSE Linux Enterprise Software Development Kit, Server und Debuginfo 11 SP4 sowie SUSE Studio Onsite 1.3 stehen Backport-Sicherheitsupdates für OpenSSL bereit, um die Schwachstelle zu beheben.

Version 5 (2018-08-27 12:12)

Für SUSE Linux Enterprise Server 12 SP1 LTSS und SUSE Linux Enterprise Server for SAP 12 SP1 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'openssl' bereit.

Version 6 (2018-09-28 15:34)

Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP2, Server 12 SP2 LTSS und 12 SP3, Desktop 12 SP3 sowie SUSE Enterprise Storage 4, SUSE CaaS Platform ALL und 3.0, SUSE OpenStack Cloud 7 und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'openssl' bereit.

Version 7 (2018-10-01 12:27)

openSUSE veröffentlicht für die Distribution openSUSE Leap 42.3 ein Sicherheitsupdate für OpenSSL mit dem zusätzlich zur der Schwachstelle fünf nicht sicherheitsrelevante Fehler adressiert werden.

Version 8 (2018-10-19 14:29)

Für SUSE Linux Enterprise Server 12 SP2 BCL steht ein Sicherheitsupdate für das Paket 'openssl' bereit, durch welches die Schwachstelle und fünf weitere Fehler behoben werden.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
IBM
Apple
Linux
Microsoft
UNIX

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer mit Lesezugriff auf den Arbeitsspeicher eines Nutzers kann unter Umständen einen privaten RSA-Schlüssels während dessen Generierung ausspähen. Zum aktuellen Zeitpunkt ist noch unklar, ob ein Angreifer den Angriff auch von einem virtuellen Gastsystem aus durchführen kann. Besitzt der Angreifer den privaten Schlüssel eines Nutzers, kann er damit jede Information ausspähen, die ein Nutzer mit dem Schlüssel verschlüsselt hat. Darüber hinaus kann der Angreifer beispielsweise Emails mit diesem Schlüssel signieren (Identitäts-Spoofing) und dadurch einem anderen Nutzer falsche Informationen darstellen.

Derzeit existiert kein offizielles Release zur Behebung der Schwachstelle. Allerdings hat der Hersteller angekündigt, die Schwachstelle in den Versionen 1.1.0i und 1.0.2p zu beheben. Anwender, die vorab einen Patch installieren möchten, finden Informationen dazu im OpenSSL Security Advisory [16 Apr 2018] (siehe Referenzen).

Schwachstellen:

CVE-2018-0737

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten RSA-Schlüssels

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.