2024-2285: EDK II, OpenSSL: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff

Historie:

Version 1 (2024-09-04 16:23): Neues Advisory
Version 2 (2024-09-10 08:59): Für Fedora 39 steht ein Sicherheitsupdate in Form des Pakets 'openssl-3.1.4-4.fc39' im Status 'testing' bereit, um die Schwachstelle zu beheben.
Version 3 (2024-09-18 10:33): Für openSUSE Tumbleweed steht ein Sicherheitsupdate für 'libopenssl-3-devel-3.1.4-13.1' auf GA Media bereit, um die Schwachstelle zu beheben.
Version 4 (2024-09-19 12:26): Für Red Hat Enterprise Linux for x86_64 / ARM 64 9 (x86_64, aarch64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.4 (x86_64, aarch64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64) und Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für 'openssl' bereit, die die Schwachstelle beheben.
Version 5 (2024-09-20 11:04): Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'openssl' bereit, die die Schwachstelle beheben.
Version 6 (2024-09-20 16:55): Für Oracle Linux 9 (x86_64, aarch64) stehen weitere Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle beheben.
Version 7 (2024-09-24 10:34): Für Oracle Linux 9 (x86_64, aarch64) stehen weitere Sicherheitsupdates für 'openssl' bereit, um die Schwachstelle beheben.
Version 8 (2024-10-01 10:55): IBM informiert über die Schwachstelle in OpenSSL für AIX 7.2 und 7.3 sowie VIOS 3.1 und 4.1 und stellt 'openssl_fix43.tar' als Sicherheitsupdate bereit, um die Schwachstelle zu beheben.
Version 9 (2024-11-06 17:08): Red Hat Enterprise Linux for x86_64 / ARM 64 9 (aarch64, x86_64), Red Hat Enterprise Linux for x86_64 / ARM 64 - Extended Update Support 9.4 (aarch64, x86_64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 9 (aarch64, x86_64), Red Hat CodeReady Linux Builder for x86_64 / ARM 64 - Extended Update Support 9.4 (aarch64, x86_64), Red Hat Enterprise Linux Server - AUS 9.4 (x86_64) sowie Red Hat Enterprise Linux for ARM 64 - 4 years of updates 9.4 (aarch64) stehen Sicherheitsupdates für 'edk2' bereit, um die Schwachstelle zu beheben.
Version 10 (2024-11-07 08:28): Für Oracle Linux 9 (x86_64, aarch64) stehen korrespondierende Sicherheitsupdates für 'edk2' bereit, um die Schwachstelle zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

IBM
Linux
Oracle
UNIX
Container

Beschreibung:

Ein Angreifer kann eine Schwachstelle aus der Ferne ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstelle sind keine Privilegien erforderlich.

Die Schwachstelle wird für die jeweiligen Versionszweige mit den OpenSSL Versionen 3.3.2, 3.2.3, 3.1.7 und 3.0.15 behoben.

Canonical hat Sicherheitsupdates für Ubuntu 22.04 LTS und Ubuntu 24.04 LTS für das Paket 'openssl' veröffentlicht, um die Schwachstelle zu schließen.

Debian hat für Debian 12 Bookworm (stable) die Version 3.0.14-1~deb12u2 für das Paket 'openssl' veröffentlicht, um die Sicherheitslücke zu schließen.

Für Basesystem Module 15 SP5 und SP6, openSUSE Leap 15.4, 15.5 und 15.6 sowie für die SUSE Linux Enterprise Produkte Desktop 15 SP4 LTSS, SP5 und SP6, High Performance Computing 15 SP4, SP4 ESPOS/LTSS und SP5, Micro 5.3 und 5.4, Micro for Rancher 5.3 und 5.4, Real Time 15 SP5 und SP6, Server 15 SP4, SP4 LTSS, SP5 und SP6 und Server for SAP Applications 15 SP4, SP5 und SP6 sowie für die SUSE Manager Produkte Proxy 4.3, Retail Branch Server 4.3 und Server 4.3 stehen Sicherheitsupdates für 'openssl-3' bereit, um die Schwachstelle zu beheben.

Schwachstellen:

CVE-2024-6119

Schwachstelle in OpenSSL ermöglicht Denial-of-Service-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.

DFN-CERT