2021-0363: OpenSSL: Mehrere Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-02-17 16:34)

Neues Advisory

Version 2 (2021-02-18 15:28)

Für Debian 9 Stretch (LTS) steht ein Backport-Sicherheitsupdate für 'openssl' in Version 1.1.0l-1~deb9u3 bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu behebe

Version 3 (2021-02-18 16:41)

Für Ubuntu 20.10, 20.04 LTS, 18.04 LTS und 16.04 LTS stehen Backport-Sicherheitsupdates für 'openssl' bzw. 'openssl1.0' bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 4 (2021-02-19 09:46)

Für Debian 9 Stretch (LTS) steht jetzt auch ein Sicherheitsupdate zur Behebung der Schwachstellen CVE-2021-23840 und CVE-2021-23841 im Versionszweig OpenSSL 1.0 zur Verfügung.

Version 5 (2021-03-09 10:47)

Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP4, Server 12 SP5 und 12 SP4 LTSS sowie SUSE OpenStack Cloud 9 und Crowbar 9 stehen Sicherheitsupdates für 'openssl-1_0_0' bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 6 (2021-03-10 09:33)

Für SUSE OpenStack Cloud 9 und Crowbar 9, die SUSE Linux Enterprise Produkte Software Development Kit 12 SP5, Server for SAP 12 SP4, 15 und 15 SP1, Server 12 SP4 LTSS, 12 SP5, 15 LTSS und 15 SP1 BCL / LTSS, High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, Module for Basesystem 15 SP2, die SUSE Manager Produkte Server, Retail Branch Server und Proxy jeweils in Version 4.0 sowie für SUSE Enterprise Storage 6 und SUSE Container-as-a-Service (CaaS) Platform 4.0 stehen Sicherheitsupdates für 'openssl-1_1' bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 7 (2021-03-12 11:32)

Für die SUSE Manager Produkte Server, Retail Branch Server und Proxy jeweils in Version 4.0, die SUSE Linux Enterprise Produkte Server for SAP 15 und 15 SP1, Server 15 LTSS und 15 SP1 BCL / LTSS, Module for Legacy Software 15 SP2 und 15 SP3 sowie für SUSE Enterprise Storage 6 und SUSE Container-as-a-Service (CaaS) Platform 4.0 stehen Sicherheitsupdates für 'openssl-1_0_0' bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 8 (2021-03-16 15:23)

Für SUSE Linux Enterprise Server for SAP 12 SP2, 12 SP3, 12 SP4 und 12 SP5 sowie SUSE Linux Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates für 'compat-openssl098' bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 9 (2021-03-17 11:26)

Für openSUSE Leap 15.2 stehen Sicherheitsupdates für 'openssl-1_1' und 'openssl-1_0_0' zur Behebung der Schwachstellen CVE-2021-23840 und CVE-2021-23841 zur Verfügung.

Version 10 (2021-03-18 08:09)

Für SUSE Linux Enterprise Server 11 SECURITY und SUSE Linux Enterprise Debuginfo 11 SP3 stehen Sicherheitsupdates für 'openssl1' zur Behebung der Schwachstellen CVE-2021-23840 und CVE-2021-23841 zur Verfügung.

Version 11 (2021-03-22 11:48)

Für SUSE Linux Enterprise Server 11 SP4 LTSS sowie SUSE Linux Enterprise Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'openssl' zur Behebung der Schwachstellen CVE-2021-23840 und CVE-2021-23841 zur Verfügung.

Version 12 (2021-03-24 17:56)

Für SUSE OpenStack Cloud 7, 8 und Crowbar 8 sowie die SUSE Linux Enterprise Produkte Server for SAP 12 SP2 und 12 SP3 und Server 12 SP2 BCL / LTSS und 12 SP3 BCL / LTSS stehen Sicherheitsupdates für 'openssl' zur Behebung der Schwachstellen CVE-2021-23840 und CVE-2021-23841 zur Verfügung.

Version 13 (2021-05-04 10:05)

IBM informiert über die Schwachstellen in IBM AIX 7.1 und 7.2 sowie IBM VIOS 3.1 und stellt zu deren Behebung Sicherheitsupdates zur Verfügung.

Version 14 (2021-10-13 12:55)

Oracle veröffentlicht für Oracle Linux 7 (aarch64, x86_64) Sicherheitsupdates für 'openssl', um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben. Korrespondierende Sicherheitsupdates stellt Red Hat für die Red Hat Enterprise Linux Produkte Server, Workstation, Desktop und for Scientific Computing Version 7 (x86_64) zur Verfügung.

Version 15 (2021-10-14 13:08)

Für Oracle Linux 7 (aarch64, x86_64) stehen die Ksplice-Pakete für 'openssl' als Sicherheitsupdates bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 16 (2021-10-21 16:16)

Korrespondierend zu ELSA-2021-3798 stehen OpenSSL Updates via Ksplice bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 17 (2021-11-01 12:06)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdates für 'openssl' im Versionszweig 1.0.2 bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 18 (2021-11-10 09:37)

Für Fedora EPEL 7 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem die Schwachstellen CVE-2021-23840 und CVE-2021-23841 in 'openssl11' adressiert werden.

Version 19 (2021-11-11 10:41)

Für Red Hat Enterprise Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates zur Behebung der Schwachstellen CVE-2021-23840 und CVE-2021-23841 in 'openssl' zur Verfügung. Die Updates werden im Rahmen der Veröffentlichung von Red Hat Enterprise Linux 8.5 bereitgestellt.

Version 20 (2021-11-23 09:10)

Für Oracle Linux 8 (aarch64, x86_64) stehen Sicherheitsupdates für 'openssl' bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Version 21 (2021-11-29 18:18)

Korrespondierend zu ELSA-2021-4424 stehen Updates via Ksplice bereit, um die Schwachstellen CVE-2021-23840 und CVE-2021-23841 zu beheben.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
IBM
Apple
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen, Sicherheitsvorkehrungen zu umgehen und möglicherweise weitere Angriffe durchzuführen.

Das OpenSSL-Projekt informiert über die Schwachstellen und veröffentlicht die Versionen 1.0.2y (Premium Support) und 1.1.1j als Sicherheitsupdates. Der Versionszweig 1.1.1 ist von CVE-2021-23839 nicht direkt betroffen, da hier SSLv2 nicht mehr unterstützt wird.

Schwachstellen:

CVE-2021-23839

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-23840

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-23841

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.