2018-1485: OpenSSL: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2018-07-30 14:16)

Neues Advisory

Version 2 (2018-08-29 10:52)

Für SUSE Linux Enterprise Server 11 SECURITY steht ein Sicherheitsupdate für 'openssl1' zur Verfügung. Über dieses Update werden die beiden Schwachstellen und zwei weitere, nicht sicherheitsrelevante Fehler behoben.

Version 3 (2018-09-24 12:53)

Für Fedora 27 und 28 stehen Sicherheitsupdates für OpenSSL in Form der Pakete 'openssl-1.1.0i-1.fc27' und 'openssl-1.1.0i-1.fc28' im Status 'testing' und 'stable' bereit, um die Schwachstellen zu beheben.

Version 4 (2018-10-02 12:36)

Für SUSE Linux Enterprise Module for Legacy Software 15 steht ein Sicherheitsupdate auf die OpenSSL Version 1.0.2p zur Verfügung. Dieses behebt neben den beiden referenzierten Schwachstellen drei weitere, nicht sicherheitsrelevante Fehler.

Version 5 (2018-10-05 16:15)

Für openSUSE Leap 15 steht ein Sicherheitsupdate für 'openssl-1_0_0' auf die Version 1.0.2p bereit, um die Schwachstellen zu beheben.

Version 6 (2018-10-15 12:07)

Für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) stehen Sicherheitsupdates in Form von Backports für das Paket 'openssl' bereit.

Version 7 (2018-10-16 12:25)

Für Oracle Linux 6 (i386, x86_64) und 7 (x86_64) stehen Ksplice-Sicherheitsupdates in Form von Backports für das Paket 'openssl' bereit, welche keinen Neustart des Systems benötigen.

Betroffene Software

Sicherheit

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer, der einen Server kontrolliert, zu dem ein Client eine verschlüsselte Verbindung aufbauen möchte, kann einen Denial-of-Service-Angriff ausführen. Ein lokaler, nicht authentisierter Angreifer mit Lesezugriff auf den Arbeitsspeicher eines Nutzers kann unter Umständen einen privaten RSA-Schlüssel während dessen Generierung ausspähen.

Für Debian Jessie (LTS) steht ein Sicherheitsupdate für das Paket 'openssl' in Version '1.0.1t-1+deb8u9' bereit.

Schwachstellen:

CVE-2018-0732

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2018-0737

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten RSA-Schlüssels

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.