Kurzinfo CB-K16/0328

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsmechanismen
Datum: 01.03.2016
Software: OpenSSL Project OpenSSL
Plattform: Red Hat Enterprise Linux Desktop 5 Client, Red Hat Enterprise Linux Desktop 5 Workstation/Client, Red Hat Enterprise Linux Desktop 6, Red Hat Enterprise Linux Desktop 7, Red Hat Enterprise Linux HPC Node 6, Red Hat Enterprise Linux HPC Node 7, Red Hat Enterprise Linux HPC Node 7.1 EUS, Red Hat Enterprise Linux HPC Node 7.2 EUS, Red Hat Enterprise Linux Server 5, Red Hat Enterprise Linux Server 5.6 Long Life, Red Hat Enterprise Linux Server 5.9 Long Life, Red Hat Enterprise Linux Server 6, Red Hat Enterprise Linux Server 6.2 AUS, Red Hat Enterprise Linux Server 6.4 AUS, Red Hat Enterprise Linux Server 6.5 AUS, Red Hat Enterprise Linux Server 6.6.z EUS, Red Hat Enterprise Linux Server 6.7.z EUS, Red Hat Enterprise Linux Server 7, Red Hat Enterprise Linux Server 7.1 EUS, Red Hat Enterprise Linux Server 7.2 AUS, Red Hat Enterprise Linux Server 7.2 EUS, Red Hat Enterprise Linux Workstation 6, Red Hat Enterprise Linux Workstation 7
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2015-0293, CVE-2015-3197, CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0800
Bezug: Red Hat Security Advisory RHSA-2016:0301
Beschreibung

OpenSSL ist eine freie Software, die kryptographische Funktionen und Protokolle implementiert. Bestandteil ist auch das TLS-Protokoll (Transport Layer Security). Es wurde ursprünglich als Secure Socket Layer entwickelt und ist immer noch unter dem Namen SSL bekannt.

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen, das Ausspähen von Informationen und Denial-of-Service-Angriffe. Für zahlreiche Red Hat Enterprise Linux 5, 6 und 7 Produkte stehen unterschiedliche Backport-Sicherheitsupdates zur Verfügung, die im Wesentlichen jene Schwachstellen adressieren, die mit den aktuellen OpenSSL Sicherheitsupdates in Form der neuen Versionen 1.0.2g und 1.0.1s behoben wurden, zusätzlich aber auch die Schwachstelle CVE-2015-3197, die von OpenSSL bereits mit dem Sicherheitsupdate vom 28. Januar 2016 behoben wurde. Mit diesem Update wird das SSLv2-Protokoll als Standardvorgabe abgeschaltet und die SSLv2-Export-Kryptoalgorithmen werden entfernt. Zusätzlich werden schwache Kryptoalgorithmen in SSLv3 und höher als Standardvorgabe abgeschaltet.

  1. Schwachstelle CVE-2015-0293 (NVD)

  2. Schwachstelle CVE-2015-3197 (NVD)

  3. Schwachstelle CVE-2016-0705 (NVD)

  4. Red Hat Security Advisory RHSA-2016:0301

  5. Red Hat Security Advisory RHSA-2016:0302

  6. Red Hat Security Advisory RHSA-2016:0303

  7. Red Hat Security Advisory RHSA-2016:0304

  8. Red Hat Security Advisory RHSA-2016:0305

  9. Schwachstelle CVE-2016-0702 (NVD)

  10. Schwachstelle CVE-2016-0797 (NVD)

  11. Schwachstelle CVE-2016-0800 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.