Kurzinfo CB-K16/0329 Update 1

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsmechanismen
Datum: 02.03.2016
Software: OpenSSL Project OpenSSL <= 1.0.1r, OpenSSL Project OpenSSL <= 1.0.2f
Plattform: Apple Mac OS X, Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.10, Debian Linux 7.9 Wheezy, Debian Linux 8.3 Jessie, FreeBSD, GNU/Linux, Microsoft Windows
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2016-0702, CVE-2016-0703, CVE-2016-0704, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799, CVE-2016-0800
Bezug: OpenSSL Security Advisory [01 Mar 2016]
Beschreibung

OpenSSL ist eine freie Software, die kryptographische Funktionen und Protokolle implementiert. Bestandteil ist auch das TLS-Protokoll (Transport Layer Security). Es wurde ursprünglich als Secure Socket Layer entwickelt und ist immer noch unter dem Namen SSL bekannt.

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen, das Ausspähen von Informationen und Denial-of-Service-Angriffe. Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.0.2g und 1.0.1s zur Verfügung gestellt, um diese Schwachstellen zu beheben. Mit diesem Update wird das SSLv2-Protokoll als Standardvorgabe abgeschaltet und die SSLv2-Export-Kryptoalgorithmen werden entfernt. Zusätzlich werden schwache Kryptoalgorithmen in SSLv3 und höher als Standardvorgabe abgeschaltet. Update: Für die Debian Distributionen Wheezy (oldstable) und Jessie (stable) stehen Backport-Sicherheitsupdates zur Behebung der Schwachstellen CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798 und CVE-2016-0799 bereit. Zusätzlich werden EXPORT und LOW Chiffren deaktiviert, da diese im Kontext von DROWN (CVE-2016-0800) und SLOTH (CVE-2015-7575) Angriffen verwendet werden könnten. Debian weist aber darauf hin, dass Wheezy und Jessie nicht von dieser Art Angriffe betroffen sind, da das SSLv2 Protokoll bereits in den openssl-Paketen Version 1.0.0c-2 weggefallen ist. Canonical stellt für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates in Form fehlerbereinigter libssl-Pakete zur Behebung der OpenSSL-Schwachstellen CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798 und CVE-2016-0799 zur Verfügung.

  1. Schwachstelle CVE-2016-0705 (NVD)

  2. Schwachstelle CVE-2016-0798 (NVD)

  3. Schwachstelle CVE-2016-0799 (NVD)

  4. OpenSSL Security Advisory [01 Mar 2016]

  5. Artikel: "CacheBleed: A Timing Attack on OpenSSL Constant Time RSA"

  6. Artikel: "The DROWN Attack"

  7. Schwachstelle CVE-2016-0702 (NVD)

  8. Schwachstelle CVE-2016-0703 (NVD)

  9. Schwachstelle CVE-2016-0704 (NVD)

  10. Schwachstelle CVE-2016-0797 (NVD)

  11. Schwachstelle CVE-2016-0800 (NVD)

  12. Debian Security Advisory DSA-3500-1

  13. Ubuntu Security Notice USN-2914-1

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.