2018-2466: Mbed TLS: Zwei Schwachstellen ermöglichen das Ausspähen von Informationen

Historie:

Version 1 (2018-12-04 15:04)

Neues Advisory

Version 2 (2018-12-10 15:03)

Für Fedora 28 und 29 sowie EPEL 6 und 7 stehen Sicherheitsupdates in Form von 'mbedtls-2.14.1-1' Pakten für Fedora 28 und 29 sowie 'mbedtls-2.7.8-1'-Paketen für EPEL 6 und 7 im Status 'testing' zur Behebung der Schwachstelle bereit.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Linux
Microsoft

Beschreibung:

Ein lokaler, nicht authentisierter Angreifer kann eine Schwachstelle in Mbed TLS ausnutzen, um den Klartext RSA-verschlüsselter Daten zu erhalten und möglicherweise Signaturen zu fälschen. Angriffe aus der Ferne sind ebenfalls möglich, falls der Angreifer Zugriff auf (D)TLS-Server hat oder als Man-in-the-Middle agieren kann. Der Angreifer kann darüber hinaus eine weitere Schwachstelle ausnutzen, um sensible Pufferinhalte auszuspähen.

Der Hersteller stellt Mbed TLS 2.14.1, 2.7.8 und 2.1.17 als Sicherheitsupdates bereit. Die Schwachstelle CVE-2018-19608 wird vom Hersteller als schwerwiegend (Severity High) eingestuft.

Schwachstellen:

CVE-2018-19608

Schwachstelle in Mbed TLS ermöglicht Ausspähen des Klartextes verschlüsselter Informationen

MBED-TLS-2-14-1-A

Schwachstelle in Mbed TLS ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.