Kurzinfo CB-K17/1100

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: OSCI-Transport Bibliothek: Mehrere Schwachstellen ermöglichen u.a. das Ausspähen von Informationen
Datum: 03.07.2017
Software: OSCI-Transport Bibliothek < 1.7 (.NET), OSCI-Transport Bibliothek < 1.7.1 (Java)
Plattform: GNU/Linux, Microsoft Windows
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2017-10668, CVE-2017-10669, CVE-2017-10670
Bezug: Downloads Koordinierungsstelle für IT-Standards (KoSIT)
Revisions Historie
  • Version: 2

    Auf den Seiten zu XML in der öffentlichen Verwaltung (XÖV) stehen unter dem Punkt 'OSCI 1.2: Transport Bibliothek 1.7 (.NET) / 1.7.1 (JAVA)' weitere Informationen zum Sicherheitsupdate zur Verfügung. Unter anderem steht als neuer Verschlüsselungsmodus der 'Galois/Counter Mode' (GCM) zur Verfügung, der langfristig den nicht mehr empfohlenen CBC-Modus ablösen wird.

  • Version: 1

    Neues Advisory

Beschreibung

OSCI-Transport ist ein Protokollstandard für die sichere, vertrauliche und rechtsverbindliche Übertragung elektronischer Daten im e-Government. Für die Integration von OSCI-Transport in Transportverfahren wird die OSCI-Transport Bibliothek durch die KoSIT veröffentlicht.

Mehrere Schwachstellen in der OSCI-Transport Bibliothek ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausspähen sensitiver Informationen über das System eines Kommunikationspartners, als Man-in-the-Middle auch das Ausspähen sensitiver Informationen aus verschlüsselter Kommunikation, die Manipulation von signierten Transportdaten ohne Einfluss auf die Gültigkeit der Signatur und möglicherweise einen Denial-of-Service-Angriff. Die Koordinierungsstelle für IT-Standards (KoSIT) informiert in einem Sicherheitshinweis über die Schwachstellen in der OSCI-Transport Bibliothek, die den OSCI-Client ('aktiver Empfänger') und das OSCI-Backend ('passiver Empfänger') betreffen. Es stehen die Programmversionen 1.7 (.NET) und 1.7.1 (Java) als Sicherheitsupdates zur Verfügung. Für eine erfolgreiche Ausnutzung der Schwachstellen benötigt ein Angreifer Zugriff auf einen Verzeichnisdienst einer OSCI-Infrastruktur. Zusätzlich müssen Nachrichten vom Empfänger nach einer optionalen Absenderauthentifizierung angenommen und verarbeitet werden. Weitere Voraussetzungen zur Ausnutzung der einzelnen Schwachstellen entnehmen Sie der Referenz 'Sicherheitsempfehlung zu Korrigenda 03/2017'.

  1. Schwachstelle CVE-2017-10668 (NVD)

  2. Schwachstelle CVE-2017-10669 (NVD)

  3. Schwachstelle CVE-2017-10670 (NVD)

  4. Downloads Koordinierungsstelle für IT-Standards (KoSIT)

  5. Sicherheitsempfehlung zu Korrigenda 03/2017 [PDF]

  6. XML in der öffentlichen Verwaltung - Standards

  7. [SEC Consult Blog] e-Government in Deutschland: Kritische Schwachstellen in zentraler Transportkomponente

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.