Kurzinfo CB-K16/0146 Update 6

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: OpenSSL: Zwei Schwachstellen ermöglichen das Umgehen von Sicherheitsmechanismen und das Ausspähen von Informationen
Datum: 15.02.2016
Software: OpenSSL Project OpenSSL <= 1.0.1q, OpenSSL Project OpenSSL <= 1.0.2e
Plattform: Cisco Intrusion Prevention System, Cisco Jabber Windows, Cisco Prime Collaboration Provisioning, Cisco Unified Communications Manager, Cisco Unified Contact Center Enterprise, Cisco Unified Intelligent Contact Management Enterprise, Cisco Unity Connection Server, Cisco WebEx Meetings Server 1.x, Cisco WebEx Meetings Server 2.x, F5 Networks BIG-IP Protocol Security Module (PSM), Cisco Edge Edge 300, Cisco IP Phone 8800 Series, Cisco MDS 9000, Cisco Nexus 5000, Cisco Nexus 6000, Cisco Nexus 7000, Cisco Unified IP Phone 7800 Series, Cisco Unified IP Phone 8945, Apple Mac OS X, Canonical Ubuntu Linux 15.10, FreeBSD <= 9.3-RELEASE-p35, FreeBSD 9.3-STABLE, FreeBSD <= 10.1-RELEASE-p28, FreeBSD <= 10.2-RELEASE-p11, FreeBSD 10.2-STABLE, GNU/Linux, Microsoft Windows , openSUSE 13.1, openSUSE 13.2, Red Hat Fedora 23
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2015-3197, CVE-2016-0701
Bezug: Ubuntu Security Notice USN-2883-1
Beschreibung

OpenSSL ist eine freie Software, die kryptographische Funktionen und Protokolle implementiert. Bestandteil ist auch das TLS-Protokoll (Transport Layer Security). Es wurde ursprünglich als Secure Socket Layer entwickelt und ist immer noch unter dem Namen SSL bekannt.

Zwei Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen und das Ausspähen von Informationen. Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.0.2f und 1.0.1r zur Verfügung gestellt, um diese Schwachstellen zu beheben. Canonical stellt für die Distribution Ubuntu 15.10 ein Backport-Sicherheitsupdate für das Paket libssl1.0.0 zur Verfügung, um die Schwachstelle CVE-2016-0701 zu beheben. Update: Cisco aktualisiert die Sicherheitsmeldung und informiert über weitere verwundbare / nicht verwundbare Produkte. Unter anderem werden die Schwachstellen auch für Cisco WebEx Meetings Server 1.x und 2.x sowie Cisco Jabber for Windows bestätigt; Sicherheitsupdates stehen noch nicht zur Verfügung.

  1. OpenSSL Security Advisory [28 Jan 2016]

  2. Ubuntu Security Notice USN-2883-1

  3. Schwachstelle CVE-2015-3197 (NVD)

  4. Schwachstelle CVE-2016-0701 (NVD)

  5. Fedora Security Update FEDORA-2016-527018d2ff (Fedora 23)

  6. F5 Networks Security Advisory sol33209124

  7. F5 Networks Security Advisory sol64009378

  8. FreeBSD Security Advisory FreeBSD-SA-16:11.openssl

  9. Cisco Security Advisory cisco-sa-20160129-openssl (CVE-2015-3197, CVE-2016-0701)

  10. openSUSE Security Update openSUSE-SU-2016:0362-1

  11. openSUSE Security Update openSUSE-SU-2016:0442-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.