2018-2214: OpenSSL: Eine Schwachstelle ermöglicht das Ausspähen eines privaten Schlüssels

Historie:

Version 1 (2018-11-01 12:13)

Neues Advisory

Version 2 (2018-11-02 10:54)

Der Hersteller weist darauf hin, dass die Änderungen am Programmcode, die der Behebung dieser Schwachstelle dienen, einen weiteren Seitenkanalangriff möglich machen. Zur Behebung der neuen Schwachstelle stehen zusätzliche Patches bereit.

Betroffene Software

Sicherheit

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausspähen eines privaten Schlüssels, wenn der 'Digital Signature Algorithm' (DSA) verwendet wird.

Die Kritikalität der Schwachstelle wird von den Entwicklern mit niedrig (low) angegeben. Die Schwachstelle wird folglich erst in den kommenden Releases OpenSSL 1.1.1a, 1.1.0j und 1.0.2q offiziell behoben. Patches für OpenSSL 1.1.1, 1.1.0 und 1.0.2 stehen aber bereits über das OpenSSL Git-Repository zur Verfügung.

Schwachstellen:

CVE-2018-0734

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.