2019-1900: OpenSSL: Mehrere Schwachstellen ermöglichen u. a. das Ausspähen von Informationen

Historie:

Version 1 (2019-09-11 19:00): Neues Advisory
Version 2 (2019-09-17 13:07): Für die Distributionen Fedora 29, 30 und 31 stehen Sicherheitsupdates auf das OpenSSL Release 1.1.1d zur Behebung der Schwachstellen im Status 'testing' zur Verfügung.
Version 3 (2019-09-18 14:29): Für SUSE Linux Enterprise Server 11 SECURITY steht ein Sicherheitsupdate für 'openssl1' bereit, um die Schwachstellen CVE-2019-1547 und CVE-2019-1563 zu beheben. CVE-2019-1549 betrifft diesen Versionszweig nicht.
Version 4 (2019-09-19 11:49): Für die SUSE Linux Enterprise Module for Basesystem 15 SP1 und for Open Buildservice Development Tools 15 SP1 stehen Sicherheitsupdates für 'openssl-1_1' zur Verfügung, über welche die Schwachstellen CVE-2019-1547 und CVE-2019-1563 behoben werden. Eben diese Schwachstellen werden auch mittels der Sicherheitsupdates, die für SUSE Linux Enterprise Server for SAP 12 SP1 und Server 12 SP1 LTSS bereitstehen, behoben.
Version 5 (2019-09-20 12:48): SUSE behebt die Schwachstellen CVE-2019-1547 und CVE-2019-1563 für die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS, Debuginfo 11 SP3 und SP4 mittels Backport-Sicherheitsupdates.
Version 6 (2019-09-20 18:17): Für die SUSE Linux Enterprise Module for Basesystem 15 und for Open Buildservice Development Tools 15 stehen Sicherheitsupdates für 'openssl-1_1' zur Verfügung, über welche die Schwachstellen CVE-2019-1547 und CVE-2019-1563 behoben werden.
Version 7 (2019-09-20 20:05): Für SUSE OpenStack Cloud Crowbar 8, SUSE OpenStack Cloud 7 und 8, SUSE Linux Enterprise Server for SAP 12 SP2 und 12 SP3, SUSE Linux Enterprise Server 12 SP2 und SP3 LTSS, SUSE Linux Enterprise Server 12 SP2 und SP3 BCL, SUSE Enterprise Storage 4 und 5, SUSE CaaS Platform 3.0 sowie HPE Helion Openstack 8 stehen Sicherheitsupdates für 'openssl' zur Verfügung, die die Schwachstellen CVE-2019-1547 und CVE-2019-1563 schließen.
Version 8 (2019-09-24 15:25): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'openssl-1_1' zur Verfügung, über welches die Schwachstellen CVE-2019-1547 und CVE-2019-1563 behoben werden.
Version 9 (2019-09-26 13:12): Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'openssl-1_1' zur Verfügung, um die Schwachstellen CVE-2019-1547 und CVE-2019-1563 zu schließen.
Version 10 (2019-09-26 13:49): Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für das Paket 'openssl' auf Version 1.0.1t-1+deb8u12 bereit, um die Schwachstellen CVE-2019-1547 und CVE-2019-1563 zu beheben.
Version 11 (2019-10-02 11:23): Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop jeweils in Version 12 SP4 stehen Sicherheitsupdates für 'openssl-1_0_0' zur Behebung der Schwachstellen CVE-2019-1547 und CVE-2019-1563 sowie eines weiteren nicht sicherheitsrelevanten Fehlers zur Verfügung.
Version 12 (2019-10-02 14:47): Debian stellt für die alte stabile Distribution (Stretch) ein Sicherheitsupdate von 'openssl1.0' bereit, um die Schwachstellen CVE-2019-1547 und CVE-2019-1563 zu beheben. Für die alte stabile Distribution (Stretch) und die stabile Distribution (Buster) stehen außerdem Sicherheitsupdates von 'openssl' zur Verfügung, um die Schwachstellen zu schließen.
Version 13 (2019-10-07 12:25): Für openSUSE Leap 15.0 und 15.1, für die SUSE Linux Enterprise Module für Open Buildservice Development Tools und Legacy Software 15 und 15 SP1 sowie für SUSE Enterprise Storage 6 stehen Sicherheitsupdates für 'openssl-1_0_0' bereit, mit denen die Schwachstellen CVE-2019-1547 und CVE-2019-1563 behoben werden. Zusätzlich wird die betroffene Software hier gegen Angriffe über ungültige Kurven (Invalid Curve Attacks) abgesichert. Die beiden Schwachstellen werden ebenfalls mit einem Update für 'compat-openssl098' für SUSE Linux Enterprise Server for SAP 12 SP1, SP2, SP3 und SP4 sowie für SUSE Linux Enterprise Module for Legacy Software 12 und SUSE Linux Enterprise Desktop 12 SP4 behoben.
Version 14 (2019-11-27 12:38): IBM stellt Sicherheitsupdates für AIX 7.1 und 7.2 sowie VIOS 2.2 und 3.1 bereit, mit denen die Schwachstellen im Versionszweig 1.0.2 von OpenSSL behoben werden.
Version 15 (2019-12-13 13:38): Für die SUSE Linux Enterprise Produkte Server 11 SP4 LTSS sowie Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'openssl' bereit, welche die bisler ausstehenden 'cms'- und 'pk7'-Fehlerbehebungen für CVE-2019-1563 beinhalten.
Version 16 (2020-05-14 14:20): Für Fedora EPEL 7 steht ein Sicherheitsupdate in Form des Pakets 'openssl11-1.1.1c-2.el7' im Status 'testing' bereit, um die Schwachstellen zu beheben.
Version 17 (2021-06-10 09:32): Hewlett Packard stellt OpenSSL A.01.01.01d für HP-UX Release B.11.31 auf IA/PA Server über OPENSSL_A.01.01.01D.001_HP-UX_B.11.31_IA_PA.DEPOT zur Verfügung, womit OpenSSL auf Version 1.1.1d aktualisiert wird. Hiermit werden zusätzlich die Schwachstellen CVE-2019-1543 und CVE-2019-1552 adressiert, welche das Ausspähen von Informationen und Manipulation von Daten bzw. das Umgehen von Sicherheitsvorkehrungen ermöglichen und die bereits mit dem OpenSSL 1.1.1 Release ebenfalls im Jahr 2019 behoben wurden.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
HP
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein entfernter Angreifer kann Sicherheitsvorkehrungen umgehen sowie private Schlüssel und andere sensible Informationen ausspähen. Eine weitere Schwachstelle ermöglicht einem lokalen Angreifer mit üblichen Benutzerrechten ebenfalls das Ausspähen privater Schlüssel.

Das OpenSSL-Projekt bestätigt die Schwachstellen und stellt die OpenSSL Versionen 1.1.1d, 1.1.0l und 1.0.2t zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2019-1547

Schwachstelle in OpenSSL ermöglicht Ausspähen von Informationen

CVE-2019-1549

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2019-1563