2021-0629: OpenSSL: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2021-03-25 16:58)

Neues Advisory

Version 2 (2021-03-25 19:10)

Canonical stellt für Ubuntu 20.10, Ubuntu 20.04 LTS und Ubuntu 18.04 LTS Sicherheitsupdates für 'openssl' bereit, welche die Schwachstelle CVE-2021-3449 beheben, und gibt an, dass bei erfolgreicher Ausnutzung möglicherweise auch beliebiger Programmcode ausgeführt werden könnte.

Version 3 (2021-03-26 11:57)

Das FreeBSD-Projekt stellt zur Behebung der Schwachstellen Sicherheitsupdates für die stabilen Versionen 12.2-STABLE und 13.0-STABLE sowie die korrigierte Version 12.2-RELEASE-p5 zur Verfügung.

Version 4 (2021-03-29 10:17)

Das Tor-Projekt stellt den Tor Browser in Version 10.0.15 bereit, bei dem OpenSSL 1.1.1k verwendet wird.

Version 5 (2021-03-30 11:12)

Für Fedora 33 steht ein Sicherheitsupdate im Status 'stable' bereit, mit dem 'openssl' auf Version 1.1.1k aktualisiert wird. Für Oracle Linux 8 (aarch64, x86_64) stehen ebenfalls Sicherheitsupdates bereit, um die Schwachstellen zu beheben.

Version 6 (2021-03-30 20:45)

Für Fedora EPEL 7 steht ein Backport-Sicherheitsupdate zur Behebung der beiden Schwachstellen in 'openssl11' im Status 'testing' zur Verfügung.

Version 7 (2021-03-31 11:55)

Für Fedora 32 steht ein Sicherheitsupdate im Status 'testing' bereit, mit dem 'openssl' auf Version 1.1.1k aktualisiert wird. Für Red Hat Enterprise Linux 8 (aarch64, x86_64) stehen ebenfalls Sicherheitsupdates bereit, um die Schwachstellen zu beheben.

Version 8 (2021-04-01 11:25)

Für Oracle Linux 8 werden zusätzliche 'ksplice'-Pakete bereitgestellt, mit denen die Schwachstellen behoben werden.

Version 9 (2021-04-15 10:15)

Für Red Hat Virtualization 4 für Red Hat Enterprise Linux 8 stehen Sicherheitsupdates zur Behebung der Schwachstellen bereit.

Version 10 (2021-04-15 12:04)

Red Hat stellt für JBoss Enterprise Web Server 5 für RHEL 7 und 8 die Version 5.4.2, für Red Hat JBoss Web Server 3 die Version 3.1 Service Pack 12 für RHEL 7 und Windows sowie für Red Hat JBoss Core Services 1 für RHEL 7 die Red Hat JBoss Core Services Apache HTTP Server Version 2.4.37 SP7 als Sicherheitsupdates zur Behebung der Schwachstelle bereit.

Version 11 (2021-04-22 18:08)

Oracle veröffentlicht Ksplice-Updates korrespondierend zu ELSA-2021-1024, um die Schwachstellen in 'openssl' zu beheben.

Betroffene Software

Entwicklung
Office
Server
Sicherheit
Systemsoftware
Virtualisierung

Betroffene Plattformen

Linux
Microsoft
Oracle
UNIX

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Das OpenSSL-Projekt informiert über die Schwachstellen und veröffentlicht die Version 1.1.1k als Sicherheitsupdate.

Schwachstellen:

CVE-2021-3449

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

CVE-2021-3450

Schwachstelle in OpenSSL ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.