2018-2360: OpenSSL: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen
Historie:
- Version 1 (2018-11-19 12:32)
- Neues Advisory
- Version 2 (2018-11-20 18:52)
- Der Hersteller stellt jetzt auch die vollwertigen Releases OpenSSL 1.0.2q, 1.1.0j und 1.1.1a zur Behebung der jeweiligen Schwachstellen bereit. Bisher wurden nur einzelne Patches zur Verfügung gestellt.
- Version 3 (2018-11-20 18:54)
- Der Quelltext der vollwertigen Releases OpenSSL 1.0.2q, 1.1.0j und 1.1.1a steht zur Behebung der jeweiligen Schwachstellen auch für andere Betriebssysteme öffentlich zur Verfügung.
- Version 4 (2018-11-22 10:55)
- Für Debian Jessie (LTS) steht ein Sicherheitsupdate zur Verfügung, mit dem die Schwachstellen CVE-2018-0735 und CVE-2018-5407 behoben werden.
- Version 5 (2018-11-23 11:35)
- SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP3, Server for SAP 12 SP2, Server 12 SP2 LTSS und 12 SP2 BCL sowie für SUSE OpenStack Cloud 7, Enterprise Storage 4, OpenStack Cloud Magnum Orchestration 7, Container as a Service Platform ALL und 3.0 Sicherheitsupdates für 'openssl' bereit, um die Schwachstellen CVE-2018-0734 und CVE-2018-5407 zu beheben. Die Schwachstellen CVE-2018-0734 und CVE-2018-0735 werden von SUSE mit einem Sicherheitsupdate für 'openssl-1_1' für die SUSE Linux Enterprise Module für Open Buildservice Development Tools und Basesystem 15 adressiert.
- Version 6 (2018-11-26 12:59)
- Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'openssl-1_1' bereit, welches die Schwachstellen CVE-2018-0734 und CVE-2018-0735 adressiert. Für openSUSE Leap 42.3 steht ebenfalls ein Sicherheitsupdate für 'openssl' bereit, welches die Schwachstellen CVE-2018-0734 und CVE-2018-5407 behebt.
- Version 7 (2018-12-06 12:38)
- SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP4 Sicherheitsupdates für 'openssl-1_0_0' bereit, um die Schwachstellen CVE-2018-0734 und CVE-2018-5407 zu beheben.
- Version 8 (2018-12-07 12:59)
- Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates für 'openssl', um die Schwachstellen zu beheben. Die Schwachstelle CVE-2018-0735 betrifft Ubuntu 14.04 LTS und Ubuntu 16.04 LTS nicht.
- Version 9 (2018-12-07 18:23)
- Für die SUSE Linux Enterprise Produkte Module for Open Buildservice Development Tools und Module for Legacy Software jeweils in Version 15 stehen Sicherheitsupdates für 'openssl-1_0_0' bereit, welche die Schwachstellen CVE-2018-0734 und CVE-2018-5407 sowie drei weitere Fehler beheben.
- Version 10 (2018-12-10 15:23)
- Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'openssl-1_0_0' zur Verfügung, mit dem die Schwachstellen CVE-2018-0734 und CVE-2018-5407 sowie drei nicht sicherheitsrelevante Fehler behoben werden.
- Version 11 (2018-12-20 11:57)
- Für Debian Stretch (stable) steht ein Sicherheitsupdate bereit, mit dem 'openssl1.0' auf den Sicherheitsstand von Version 1.0.2q aktualisiert wird. Mit dem Update wird zusätzlich die Schwachstelle CVE-2018-0732 behoben. Debian informiert darüber, dass alle Updates für 'openssl1.0' auf Debian Stretch zukünftig auf OpenSSL 1.0.2x basieren werden.
Betroffene Software
Sicherheit
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Apple
Linux
Microsoft
UNIX
Beschreibung:
Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von privaten DSA- und ECDSA-Schlüsseln. Eine weitere Schwachstelle (Portsmash, CVE-2018-5407) ermöglicht einem lokalen, einfach authentisierten Angreifer das Ausspähen von Schlüsseln, welche mit Hilfe von elliptischen Kurven erstellt werden.
Das OpenBSD-Projekt stellt für OpenBSD 6.4 und 6.3 Patches zur Verfügung. Mit dem Patch für OpenBSD 6.4 wird die Schwachstelle CVE-2018-5407 behoben, mit dem Patch für OpenBSD 6.3 die Schwachstellen CVE-2018-0734 und CVE-2018-0735. Nach Installation der Quellcode-Patches muss der Kernel neu gebaut und das System anschließend neu gestartet werden.
Schwachstellen:
CVE-2018-0734
Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten SchlüsselsCVE-2018-0735
Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten SchlüsselsCVE-2018-5407
Schwachstelle in Simultaneous Multi-Threading (SMT) ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.