2021-1799: OpenSSL: Zwei Schwachstellen ermöglichen u. a. Denial-of-Service-Angriffe

Historie:

Version 1 (2021-08-25 17:37): Neues Advisory
Version 2 (2021-08-26 18:36): Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 16.04 ESM und Ubuntu 14.04 ESM Sicherheitsupdates für 'openssl1.0' bereit, welche die Schwachstelle CVE-2021-3712 adressieren.
Version 3 (2021-08-27 16:40): Für SUSE Linux Enterprise Server for SAP 12 SP3, SP4 und SP5 sowie SUSE Linux Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates für 'compat-openssl098' bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 4 (2021-08-31 10:54): Für Fedora 33 und 34 stehen Sicherheitsupdates in Form von 'openssl-1.1.1l-1'-Paketen im Status 'testing' bereit, um die Schwachstellen zu beheben.
Version 5 (2021-09-02 09:49): Canonical informiert über eine mit USN-5051-2 bei Behebung der Schwachstelle CVE-2021-3712 für Ubuntu 14.04 ESM eingeführte Regression in OpenSSL und stellt ein Update zur Verfügung, um das Problem zu beheben.
Version 6 (2021-09-07 18:46): Für openSUSE Leap 15.3, SUSE MicroOS 5.0, SUSE Linux Enterprise Module for Basesystem 15 SP2 und 15 SP3, SUSE Linux Enterprise Server for SAP 15 und 15 SP1, SUSE Linux Enterprise Server 15 LTSS und 15 SP1 BCL / LTSS, SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'openssl-1_1' bereit, welche die Schwachstelle CVE-2021-3712 adressieren.
Version 7 (2021-09-10 15:57): Für openSUSE Leap 15.3, SUSE OpenStack Cloud 9 / Crowbar 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server 12 SP4 SAP / LTSS, 12 SP5, 15 SAP / LTSS, 15 SP1 SAP / LTSS / BCL, SUSE Linux Enterprise Module for Legacy Software 15 SP2, 15 SP3, SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen Sicherheitsupdates für 'openssl-1_0_0' bereit. Für SUSE OpenStack Cloud 9 / Crowbar 9, SUSE Linux Enterprise Software Development Kit 12 SP5, SUSE Linux Enterprise Server 12 SP4 SAP / LTSS, 12 SP5 stehen außerdem Sicherheitsupdates für 'openssl-1_1' zur Verfügung, um die Schwachstelle CVE-2021-3712 zu adressieren.
Version 8 (2021-09-13 09:36): Für die Distribution openSUSE Leap 15.2 stehen aktualisierte Pakete für ' openssl-1_1' zur Verfügung, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 9 (2021-09-13 15:30): Für SUSE Linux Enterprise Server for SAP 12 SP3, 12 SP4 und 12 SP5 sowie SUSE Linux Enterprise Module for Legacy Software 12 stehen Sicherheitsupdates für 'compat-openssl098' bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 10 (2021-09-15 09:11): Für openSUSE Leap 15.2 steht ein Sicherheitsupdate für 'openssl-1_0_0' bereit, um die Schwachstelle CVE-2021-3712 nun vollständig zu beheben.
Version 11 (2021-09-20 09:36): Für SUSE Linux Enterprise Server 11 SECURITY und SUSE Linux Enterprise Debuginfo 11 SP3 stehen Sicherheitsupdates für 'openssl1' und für SUSE Linux Enterprise Server 11 SP4 LTSS sowie SUSE Linux Enterprise Debuginfo 11 SP3 und 11 SP4 stehen Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle CVE-2021-3712 nun vollständig zu beheben.
Version 12 (2021-09-20 15:05): Für SUSE OpenStack Cloud 8 und Cloud Crowbar 8, SUSE Linux Enterprise Server 12 SP2 BCL sowie SUSE Linux Enterprise Server 12 SP3 SAP / LTSS /BCL stehen Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 13 (2021-09-22 09:18): Für SUSE MicroOS 5.1 steht ein Sicherheitsupdate für 'openssl-1_1' bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 14 (2021-09-27 09:47): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openssl' in Version 1.1.0l-1~deb9u4 bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 15 (2021-10-01 12:25): Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'openssl1.0l' in Version 1.0.2u-1~deb9u6 bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 16 (2021-11-18 08:44): Für Fedora EPEL 7 steht ein Backport-Sicherheitsupdate in Form des Pakets 'openssl11-1.1.1k-2.el7' im Status 'testing' bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 17 (2021-12-22 09:13): Für Red Hat Enterprise Linux 8 (x86_64, aarch64) und Oracle Linux 8 (x86_64, aarch64) stehen Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 18 (2021-12-27 09:44): Oracle veröffentlicht nun auch Ksplice-Updates für Oracle Linux 8 (x86_64, aarch64), mit denen CVE-2021-3712 adressiert wird.
Version 19 (2022-01-06 14:07): Oracle veröffentlicht korrespondierend zu ELSA-2021-5226 Ksplice-Updates für 'openssl', mit denen CVE-2021-3712 adressiert wird.
Version 20 (2022-01-12 08:56): Für Oracle Linux 7 (x86_64, aarch64) stehen Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 21 (2022-01-13 08:37): Red Hat stellt für die Produkte Red Hat Enterprise Linux for Scientific Computing, Desktop, Workstation und Server jeweils in Version 7 Sicherheitsupdates für 'openssl' zur Verfügung und behebt damit die Schwachstelle CVE-2021-3712.
Version 22 (2022-01-13 13:35): Für Oracle Linux 7 (aarch64, x86_64) stehen Sicherheitsupdates für 'openssl' in Version 1.0.2k-23 bereit, um die Schwachstelle CVE-2021-3712 zu beheben.
Version 23 (2022-01-14 09:22): Für Oracle Linux 7 (x86_64) stehen Sicherheitsupdates für 'openssl' in Version 1.0.2k-23 bereit, um die Schwachstelle CVE-2021-3712 zu beheben.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle
Container

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um verschiedene Denial-of-Service (DoS)-Angriffe durchzuführen, Informationen auszuspähen oder weitere Angriffe durchzuführen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und stellt OpenSSL 1.1.1l und 1.0.2za zu deren Behebung bereit. Die Schwachstelle CVE-2021-3711 betrifft nur den Versionszweig 1.1.1 von OpenSSL.

Für Debian 10 Buster (stable) und Debian 11 Bullseye (stable) stehen Sicherheitsupdates für 'openssl' in den Versionen 1.1.1d-0+deb10u7 bzw. 1.1.1k-1+deb11u1 zur Behebung der Schwachstellen bereit.

Canonical stellt für Ubuntu 18.04 LTS, Ubuntu 20.04 LTS und Ubuntu 21.04 Sicherheitsupdates zur Verfügung, um die Schwachstellen zu beheben.

Für openSUSE Leap 15.2 und 15.3 stehen Sicherheitsupdates für 'openssl-1_1' zur Behebung beider Schwachstellen und für 'openssl-1_0_0' zur Behebung der Schwachstelle CVE-2021-3712 bereit.

Für die SUSE Linux Enterprise Produkte Server for SAP 12 SP3, 12 SP4, 15 und 15 SP1, Server 11 SECURITY, 11 SP4 LTSS, 12 SP2 BCL, 12 SP3 BCL / LTSS, 12 SP4 LTSS, 12 SP5, 15 LTSS und 15 SP1 BCL / LTSS, Debuginfo 11 SP3 und 11 SP4, Software Development Kit 12 SP5, Module for Legacy Software 15 SP2 und 15 SP3, High Performance Computing 15 ESPOS / LTSS und 15 SP1 ESPOS / LTSS, Module for Basesystem 15 SP2 und 15 SP3, für SUSE OpenStack Cloud 8, 9, Crowbar 8 und 9, SUSE MicroOS 5.0, SUSE Manager Server und Retail Branch Server und Proxy jeweils in Version 4.0 sowie SUSE Enterprise Storage 6 und SUSE CaaS Platform 4.0 stehen verschiedene Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2021-3711

Schwachstelle in OpenSSL ermöglicht u. a. Denial-of-Service-Angriff

CVE-2021-3712