2020-2668: LibreSSL, OpenBSD, OpenSSL: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2020-12-09 12:01)

Neues Advisory

Version 2 (2020-12-10 10:19)

OpenBSD hat weiterhin die LibreSSL Versionen 3.1.5 und 3.3.1 als Sicherheitsupdates zur Verfügung gestellt, um die Schwachstelle zu beheben. Für SUSE OpenStack Cloud 9 und Crowbar 9 sowie die SUSE Linux Enterprise Produkte Server 11 SECURITY, Debuginfo 11 SP3, Software Development Kit 12 SP5, Server for SAP 12 SP4 und 15, Server 12 SP4 LTSS, 12 SP5 und 15 LTSS, High Performance Computing 15 ESPOS / LTSS, Module for Basesystem 15 SP1 und 15 SP2 stehen Sicherheitsupdates für 'openssl1', 'openssl-1_0_0' oder 'openssl-1_1' zur Behebung der Schwachstelle bereit. Und das FreeBSD-Projekt stellt zur Behebung der Schwachstellen Sicherheitsupdates für die stabile Version 12.2-STABLE sowie die korrigierten Versionen 12.1-RELEASE-p12 und 12.2-RELEASE-p2 zur Verfügung.

Version 3 (2020-12-10 14:51)

Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS, Ubuntu 18.04 LTS und Ubuntu 16.04 LTS Sicherheitsupdates für 'openssl' und 'openssl1.0' zur Verfügung, um die Schwachstelle zu beheben.

Version 4 (2020-12-10 17:20)

Für SUSE OpenStack Cloud 9 und Crowbar 9 sowie die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP4 und Server 12 SP4 LTSS und 12 SP5 stehen nun auch Sicherheitsupdates für 'openssl-1_1' zur Behebung der Schwachstelle bereit.

Version 5 (2020-12-11 10:27)

Für Fedora 32 und 33 stehen 'openssl-1.1.1i-1'-Pakete im Status 'testing' als Sicherheitsupdate bereit, um die Schwachstelle zu beheben.

Version 6 (2020-12-11 12:26)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'openssl-1_1' adressiert wird.

Version 7 (2020-12-14 09:20)

Die Schwachstelle wird mit Sicherheitsupdates für 'openssl-1_0_0' auf SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS, SUSE Linux Enterprise Module for Legacy Software 15 SP1, SP2 und SP3 sowie SUSE Enterprise Storage 6 adressiert. Weitere Sicherheitsupdates für 'openssl' stehen für SUSE OpenStack Cloud 7, 8 und Crowbar 8, SUSE Linux Enterprise Server for SAP 12 SP2 und SP3, SUSE Linux Enterprise Server 12 SP2 BCL, SP2 LTSS, SP3 BCL und SP3 LTSS sowie SUSE Enterprise Storage 5 zur Verfügung.

Version 8 (2020-12-14 11:47)

Für openSUSE Leap 15.2 steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'openssl-1_0_0' bereit. Debian stellt für Debian 9 Stretch (LTS) Sicherheitsupdates für 'openssl' und 'openssl1.0' zur Verfügung.

Version 9 (2020-12-15 11:26)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'openssl-1_1' adressiert wird.

Version 10 (2020-12-15 16:31)

Für Red Hat Enterprise Linux 8.2 Extended Update Support stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'openssl' bereit.

Version 11 (2020-12-16 08:53)

FreeBSD aktualisiert den Sicherheitshinweis aufgrund der Veröffentlichung des Patches für die stabile Version FreeBSD 11.4, der auch in der korrigierten Version FreeBSD 11.4-RELEASE-p6 enthalten ist.

Version 12 (2020-12-17 09:47)

Für Red Hat Enterprise Linux 8 (x86_64, aarch64) und Oracle 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'openssl bereit, um die Schwachstelle zu beheben. Für Fedora EPEL 7 wird die Schwachstelle durch ein Backport-Sicherheitsupdate in Form des Pakets ' openssl11-1.1.1g-2.el7' im Status 'testing' adressiert.

Version 13 (2020-12-18 11:24)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'openssl-1_0_0' adressiert wird.

Version 14 (2020-12-18 14:03)

Für Red Hat Enterprise Linux 7 (Desktop, Server, Workstation, for Scientific Computing) (x86_64), Red Hat Enterprise Linux EUS 7.7 (x86_64), Red Hat Enterprise Linux Compute Node EUS 7.7 (x86_64) und Red Hat Enterprise Linux Server AUS / TUS 7.7 (x86_64) stehen Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle zu beheben.

Version 15 (2020-12-18 16:55)

Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für OpenSSL zur Behebung der Schwachstelle bereit.

Version 16 (2020-12-21 16:30)

Für Red Hat Enterprise Linux Extended Update Support 8.1 (x86_64, aarch64), Red Hat Enterprise Linux Extended Update Support 7.6 (x86_64) und Red Hat Enterprise Linux EUS Compute Node 7.6 (x86_64) sowie für Red Hat Enterprise Linux Server AUS 7.2, 7.3, 7.4 und 7.6 (x86_64) und TUS 7.4 und 7.6 (x86_64) stehen Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle zu beheben.

Version 17 (2021-01-11 21:40)

Für Red Hat Enterprise Linux 6 Extended Lifecycle Support (ELS) steht ein Sicherheitsupdate bereit, mit dem die Schwachstelle in 'openssl' behoben wird.

Version 18 (2021-01-19 13:05)

Oracle veröffentlicht Ksplice-Updates korrespondierend zu ELSA-2020-5566-1 und ELSA-2020-5476, um die Schwachstelle in 'openssl' auf Oracle Linux 7 und 8 zu beheben.

Version 19 (2021-02-12 15:43)

Für Red Hat JBoss Core Services 1 und für JBoss Enterprise Web Server 3 für Red Hat Enterprise Linux 7 (x86_64) stehen Sicherheitsupdates in Forma aktualisierter Pakete für Red Hat JBoss Core Services Pack Apache Server 2.4.37 und Red Hat JBoss Web Server 3.1 bereit, um die Schwachstelle zu beheben.

Version 20 (2021-03-26 08:24)

Für Oracle Linux 6 (i386, x86_64) stehen Sicherheitsupdates für OpenSSL zur Behebung der Schwachstelle bereit.

Version 21 (2021-04-01 11:30)

Für Oracle Linux 6 werden zusätzliche 'ksplice'-Pakete als Sicherheitsupdates für OpenSSL zur Behebung der Schwachstelle bereitgestellt.

Version 22 (2021-04-06 19:31)

Oracle entfernt 'ASN1_F_ASN1_ITEM_EMBED_D2I' aus dem Patch für CVE-2020-1971 in Oracle Linux 7 (aarch64, x86_64).

Version 23 (2021-04-13 12:22)

Für Oracle Linux 6 werden zusätzliche 'ksplice'-Pakete als Sicherheitsupdates für OpenSSL zur Behebung der Schwachstelle bereitgestellt.

Version 24 (2021-06-03 11:11)

Für Oracle VM 3 Extended Lifecycle Support (ELS) stehen Sicherheitsupdates für OpenSSL zur Behebung der Schwachstelle bereit.

Betroffene Software

Entwicklung
Server
Sicherheit
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk
Cloud
Meinberg
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Das OpenSSL-Projekt bestätigt die Schwachstelle für alle Versionen der Versionszweige 1.1.1 und 1.0.2 von OpenSSL und stellt die Version 1.1.1i als Sicherheitsupdate bereit. OpenSSL vor dem Versionszweig 1.1.1 wird nicht mehr unterstützt, so dass ein Upgrade auf die Version 1.1.1i empfohlen wird. Nur Premiumkunden können noch eine fehlerbereinigte Version 1.0.2x erhalten, die aber nicht öffentlich verfügbar ist.

OpenBSD informiert ebenfalls über die Schwachstelle und veröffentlicht Quellcode-Patches für die OpenBSD Versionen 6.7 und 6.8. Außerdem wird die Version 3.2.3 von LibreSSL als Sicherheitsupdate zur Verfügung gestellt, um die Schwachstelle zu beheben.

Für die Debian Distribution Buster (stable) steht ein Sicherheitsupdate von 'openssl' in Version 1.1.1d-0+deb10u4 zur Behebung der Schwachstelle bereit.

Schwachstellen:

CVE-2020-1971

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.