Kurzinfo CB-K16/0329 Update 7

4 Risiko: hoch
Information zu Schwachstellen und Sicherheitslücken
Titel: OpenSSL: Mehrere Schwachstellen ermöglichen u.a. das Umgehen von Sicherheitsmechanismen
Datum: 10.03.2016
Software: OpenSSL Project OpenSSL <= 1.0.1r, OpenSSL Project OpenSSL <= 1.0.2f
Plattform: Cisco AnyConnect Secure Mobility Client, Cisco Application Policy Infrastructure Controller, Cisco ASA Context Aware (CX) Services , Cisco Prime Infrastructure, Cisco Unity Connection Server, Cisco Enterprise Content Delivery System, Cisco FireSIGHT System Software, Cisco Jabber Guest 10.0(2), Cisco Prime Security Manager, Cisco Security Manager, Cisco Telepresence Serial Gateway Series, Cisco TelePresence Video Communication Server, Cisco Unified Communications for Microsoft Lync, Cisco Unified Communications Manager, Cisco Unified Communications Manager IM and Presence Service, Cisco Unified Computing System Central Software, Cisco Video Distribution Suite for Internet Streaming (VDS-IS/CDS-IS), Web Security Appliance, WebEx Meeting Center, Cisco WebEx Meetings for Android , Cisco WebEx Meetings Server 1.x, Cisco WebEx Meetings Server 2.x, Cisco Wide Area Application Services (WAAS), Cisco Wireless LAN Controller, F5 Networks BIG-IP Protocol Security Module (PSM) >= 10.1.0, F5 Networks BIG-IP Protocol Security Module (PSM) <= 10.2.4, F5 Networks BIG-IP Protocol Security Module (PSM) >= 11.0.0, F5 Networks BIG-IP Protocol Security Module (PSM) <= 11.4.1, Cisco ACE30 Application Control Engine Module, Cisco ACE 4710 Application Control Engine Appliances, Cisco Adaptive Security Appliance (ASA), Cisco Content Security Management Appliance, Cisco Email Security Appliance, Cisco MDS 9000, Cisco Nexus 1000V, Cisco Nexus 4000, Cisco Nexus 5000, Cisco Nexus 6000, Cisco Nexus 7000, Cisco Nexus 9000, Cisco ONS 15454, Cisco TelePresence Integrator C, Cisco Telepresence Multipoint Control Units (MCU), Cisco TelePresence Server, Apple Mac OS X, Canonical Ubuntu Linux 12.04 Lts, Canonical Ubuntu Linux 14.04 Lts, Canonical Ubuntu Linux 15.10, Cisco Intrusion Prevention System, Cisco IOS, Cisco IOS-XE, Debian Linux 7.9 Wheezy, Debian Linux 8.3 Jessie, FreeBSD <= 9.3-RELEASE-p37, FreeBSD 9.3-STABLE, FreeBSD <= 10.1-RELEASE-p29, FreeBSD <= 10.2-BETA2-p2, FreeBSD <= 10.2-RELEASE-p12, GNU/Linux, Microsoft Windows , openSUSE 13.2, Red Hat Fedora 22, Red Hat Fedora 23
Auswirkung: Umgehen von Sicherheitsvorkehrungen
Remoteangriff: Ja
Risiko: hoch
CVE Liste: CVE-2016-0702, CVE-2016-0703, CVE-2016-0704, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799, CVE-2016-0800, CVE-2016-2842
Bezug: OpenSSL Security Advisory [01 Mar 2016]
Beschreibung

OpenSSL ist eine freie Software, die kryptographische Funktionen und Protokolle implementiert. Bestandteil ist auch das TLS-Protokoll (Transport Layer Security). Es wurde ursprünglich als Secure Socket Layer entwickelt und ist immer noch unter dem Namen SSL bekannt.

Mehrere Schwachstellen in OpenSSL ermöglichen einem entfernten, nicht authentifizierten Angreifer das Umgehen von Sicherheitsmechanismen, das Ausspähen von Informationen und Denial-of-Service-Angriffe. Für OpenSSL werden Sicherheitsupdates in Form der neuen Versionen 1.0.2g und 1.0.1s zur Verfügung gestellt, um diese Schwachstellen zu beheben. Mit diesem Update wird das SSLv2-Protokoll als Standardvorgabe abgeschaltet und die SSLv2-Export-Kryptoalgorithmen werden entfernt. Zusätzlich werden schwache Kryptoalgorithmen in SSLv3 und höher als Standardvorgabe abgeschaltet. Update: F5 Networks veröffentlicht das Security Advisory sol95463126 für die Schwachstellen CVE-2016-0703 und CVE-2016-0704 und benennt in diesem, neben anderen Versionen für weitere Produkte, die BIG-IP Protocol Security Module Hot Fix Versionen 11.4.1 HF9 und 11.2.1 HF15 als nicht durch die beiden Schwachstellen verwundbar. Cisco ergänzt erneut die Liste der verwundbaren Produkte zu denen jetzt insbesondere weitere Nexus Geräte sowie die Content Security Management Appliance und die FireSIGHT System Software gehören. FreeBSD gibt bekannt, dass alle derzeit unterstützten FreeBSD Versionen von den OpenSSL-Schwachstellen betroffen sind und stellt Sicherheitsupdates für die Version 9.3-STABLE und in Form der Releases 9.3-RELEASE-p38, 10.1-RELEASE-p30, 10.2-RELEASE-p13 sowie 10.2-BETA3 zur Verfügung.

  1. Schwachstelle CVE-2016-0705 (NVD)

  2. Schwachstelle CVE-2016-0798 (NVD)

  3. Schwachstelle CVE-2016-0799 (NVD)

  4. OpenSSL Security Advisory [01 Mar 2016]

  5. Artikel: "CacheBleed: A Timing Attack on OpenSSL Constant Time RSA"

  6. Artikel: "The DROWN Attack"

  7. Schwachstelle CVE-2016-0702 (NVD)

  8. Schwachstelle CVE-2016-0703 (NVD)

  9. Schwachstelle CVE-2016-0704 (NVD)

  10. Schwachstelle CVE-2016-0797 (NVD)

  11. Schwachstelle CVE-2016-0800 (NVD)

  12. Debian Security Advisory DSA-3500-1

  13. Fedora Security Update FEDORA-2016-2802690366 (Fedora 23)

  14. Fedora Security Update FEDORA-2016-e6807b3394 (Fedora 22)

  15. Ubuntu Security Notice USN-2914-1

  16. openSUSE Security Update openSUSE-SU-2016:0627-1

  17. Cisco Security Advisory cisco-sa-20160302-openssl

  18. F5 Networks Security Advisory sol23196136

  19. Schwachstelle CVE-2016-2842 (NVD)

  20. F5 Networks Security Advisory sol95463126

  21. FreeBSD Security Advisory FreeBSD-SA-16:12.openssl

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.