2018-2360: OpenSSL: Mehrere Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2018-11-19 12:32)

Neues Advisory

Version 2 (2018-11-20 18:52)

Der Hersteller stellt jetzt auch die vollwertigen Releases OpenSSL 1.0.2q, 1.1.0j und 1.1.1a zur Behebung der jeweiligen Schwachstellen bereit. Bisher wurden nur einzelne Patches zur Verfügung gestellt.

Version 3 (2018-11-20 18:54)

Der Quelltext der vollwertigen Releases OpenSSL 1.0.2q, 1.1.0j und 1.1.1a steht zur Behebung der jeweiligen Schwachstellen auch für andere Betriebssysteme öffentlich zur Verfügung.

Version 4 (2018-11-22 10:55)

Für Debian Jessie (LTS) steht ein Sicherheitsupdate zur Verfügung, mit dem die Schwachstellen CVE-2018-0735 und CVE-2018-5407 behoben werden.

Version 5 (2018-11-23 11:35)

SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP3, Server for SAP 12 SP2, Server 12 SP2 LTSS und 12 SP2 BCL sowie für SUSE OpenStack Cloud 7, Enterprise Storage 4, OpenStack Cloud Magnum Orchestration 7, Container as a Service Platform ALL und 3.0 Sicherheitsupdates für 'openssl' bereit, um die Schwachstellen CVE-2018-0734 und CVE-2018-5407 zu beheben. Die Schwachstellen CVE-2018-0734 und CVE-2018-0735 werden von SUSE mit einem Sicherheitsupdate für 'openssl-1_1' für die SUSE Linux Enterprise Module für Open Buildservice Development Tools und Basesystem 15 adressiert.

Version 6 (2018-11-26 12:59)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'openssl-1_1' bereit, welches die Schwachstellen CVE-2018-0734 und CVE-2018-0735 adressiert. Für openSUSE Leap 42.3 steht ebenfalls ein Sicherheitsupdate für 'openssl' bereit, welches die Schwachstellen CVE-2018-0734 und CVE-2018-5407 behebt.

Version 7 (2018-12-06 12:38)

SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in der Version 12 SP4 Sicherheitsupdates für 'openssl-1_0_0' bereit, um die Schwachstellen CVE-2018-0734 und CVE-2018-5407 zu beheben.

Version 8 (2018-12-07 12:59)

Canonical veröffentlicht für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS, Ubuntu 18.04 LTS und Ubuntu 18.10 Sicherheitsupdates für 'openssl', um die Schwachstellen zu beheben. Die Schwachstelle CVE-2018-0735 betrifft Ubuntu 14.04 LTS und Ubuntu 16.04 LTS nicht.

Version 9 (2018-12-07 18:23)

Für die SUSE Linux Enterprise Produkte Module for Open Buildservice Development Tools und Module for Legacy Software jeweils in Version 15 stehen Sicherheitsupdates für 'openssl-1_0_0' bereit, welche die Schwachstellen CVE-2018-0734 und CVE-2018-5407 sowie drei weitere Fehler beheben.

Version 10 (2018-12-10 15:23)

Für openSUSE Leap 15.0 steht ein Sicherheitsupdate für 'openssl-1_0_0' zur Verfügung, mit dem die Schwachstellen CVE-2018-0734 und CVE-2018-5407 sowie drei nicht sicherheitsrelevante Fehler behoben werden.

Version 11 (2018-12-20 11:57)

Für Debian Stretch (stable) steht ein Sicherheitsupdate bereit, mit dem 'openssl1.0' auf den Sicherheitsstand von Version 1.0.2q aktualisiert wird. Mit dem Update wird zusätzlich die Schwachstelle CVE-2018-0732 behoben. Debian informiert darüber, dass alle Updates für 'openssl1.0' auf Debian Stretch zukünftig auf OpenSSL 1.0.2x basieren werden.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft
UNIX

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von privaten DSA- und ECDSA-Schlüsseln. Eine weitere Schwachstelle (Portsmash, CVE-2018-5407) ermöglicht einem lokalen, einfach authentisierten Angreifer das Ausspähen von Schlüsseln, welche mit Hilfe von elliptischen Kurven erstellt werden.

Das OpenBSD-Projekt stellt für OpenBSD 6.4 und 6.3 Patches zur Verfügung. Mit dem Patch für OpenBSD 6.4 wird die Schwachstelle CVE-2018-5407 behoben, mit dem Patch für OpenBSD 6.3 die Schwachstellen CVE-2018-0734 und CVE-2018-0735. Nach Installation der Quellcode-Patches muss der Kernel neu gebaut und das System anschließend neu gestartet werden.

Schwachstellen:

CVE-2018-0734

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

CVE-2018-0735

Schwachstelle in OpenSSL ermöglicht Ausspähen des privaten Schlüssels

CVE-2018-5407

Schwachstelle in Simultaneous Multi-Threading (SMT) ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.