Kurzinfo CB-K17/1446 Update 11

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: OpenSSL: Zwei Schwachstellen ermöglichen das Darstellen falscher Informationen und das Ausspähen von Informationen
Datum: 28.12.2017
Software: OpenSSL Project OpenSSL < 1.0.2m, OpenSSL Project OpenSSL < 1.1.0g
Plattform: F5 Networks BIG-IP Advanced Firewall Manager (AFM) >= 12.1.0, F5 Networks BIG-IP Advanced Firewall Manager (AFM) <= 12.1.2, F5 Networks BIG-IP Advanced Firewall Manager (AFM) 13.0.0, F5 Networks BIG-IP Application Security Manager (ASM) >= 12.1.0, F5 Networks BIG-IP Application Security Manager (ASM) <= 12.1.2, F5 Networks BIG-IP Application Security Manager (ASM) 13.0.0, SUSE Container-as-a-Service-(CaaS)-Plattform ALL, SUSE Linux Enterprise Software Development Kit 12 SP2, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE OpenStack Cloud 6, SUSE OpenStack Cloud 7, Apple Mac OS X, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Canonical Ubuntu Linux 17.10, Debian Linux 8.9 Jessie, Debian Linux 9.2 Stretch, FreeBSD < 10.3-RELEASE-p25, FreeBSD < 10.4-RELEASE-p4, FreeBSD 10.4-STABLE, FreeBSD < 11.0-RELEASE-p16, FreeBSD < 11.1-RELEASE-p5, FreeBSD 11.1-STABLE, GNU/Linux, HP-UX, IBM AIX 5.3, IBM AIX 6.1, IBM AIX 7.1, IBM AIX 7.2, IBM VIOS 2.2.x, Microsoft Windows , openSUSE Leap 42.2, openSUSE Leap 42.3, SUSE Linux Enterprise Desktop 12 SP2, SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Server 11 SECURITY, SUSE Linux Enterprise Server 12 SP1 LTSS, SUSE Linux Enterprise Server for SAP 12 SP1, SUSE Linux Enterprise Server 12 SP2, SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi, SUSE Linux Enterprise Server 12 SP3, Oracle Solaris, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27
Auswirkung: Darstellen falscher Informationen
Remoteangriff: Ja
Risiko: niedrig
CVE Liste: CVE-2017-3735, CVE-2017-3736
Bezug: Pull-Request #4276: Avoid out-of-bounds read
Revisions Historie
  • Version: 12

    Für IBM AIX 5.3, 6.1, 7.1 und 7.2 sowie für VIOS 2.2.x stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2017-3735 bereit. IBM weist darauf hin, dass OpenSSL 0.9.8 und 1.0.1 in AIX und VIOS nicht mehr unterstützt werden. Anwender sind angehalten, auf die aktuell unterstützte Version 1.0.2 zu aktualisieren.

  • Version: 11

    F5 Networks informiert darüber, dass verschiedene BIG-IP-Produkte von CVE-2017-3736 betroffen sind. Unter anderem werden BIG-IP AFM und ASM in den Versionen 12.1.0 bis 12.1.2 und 13.0.0 genannt. Sicherheitsupdates stehen noch nicht zur Verfügung.

  • Version: 10

    Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates für OpenSSL bereit, um die beiden Schwachstellen zu beheben.

  • Version: 9

    Für die SUSE Linux Enterprise Produkte Software Development Kit, Server und Desktop in den Versionen 12 SP2 und 12 SP3, SUSE Linux Enterprise Server for Raspberry Pi 12 SP2, SUSE Container as a Service Platform ALL sowie OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates zur Verfügung, um die Schwachstellen zu beheben.

  • Version: 8

    Das FreeBSD Projekt veröffentlicht für alle derzeit unterstützen FreeBSD Versionen Sicherheitsupdates, um die OpenSSL-Schwachstellen zu beheben. Konkret stehen Sicherheitsupdates für die Versionen 11.1-STABLE sowie 10.4-STABLE bereit und in Form der Releases 11.1-RELEASE-p5, 11.0-RELEASE-p16, 10.4-RELEASE-p4 sowie 10.3-RELEASE-p25.

  • Version: 7

    Für Fedora 26 und 27 stehen Sicherheitsupdates für 'openssl' auf Version 1.1.0g und für Fedora 25 auf Version 1.0.2m bereit. Darüber hinaus stehen für Fedora 26 und 27 auch Sicherheitsupdates für 'compat-openssl10' bereit. Die Sicherheitsupdates für Fedora 27 befinden sich im Status 'pending', alle anderen sind bereits im Status 'testing'.

  • Version: 6

    Für SUSE OpenStack Cloud 6, SUSE Linux Enterprise Server 12 SP1 LTSS und für SUSE Linux Enterprise Server for SAP 12 SP1 stehen Sicherheitsupdates für 'openssl' zur Verfügung, mit denen CVE-2017-3735 behoben wird.

  • Version: 5

    Für SUSE Linux Enterprise Server 11 SECURITY steht ein Sicherheitsupdate für 'openssl1' zur Verfügung, mit dem die Schwachstelle CVE-2017-3735 und weitere sicherheitsrelevante Programmfehler behoben werden.

  • Version: 4

    Canonical stellt für die aktuellen Distributionen Ubuntu Linux 14.04 LTS, 16.04 LTS, 17.04 und 17.10 Backport-Sicherheitsupdates zur Behebung der beiden Schwachstellen in OpenSSL bereit.

  • Version: 3

    Debian stellt für die stabile Distribution Stretch Backport-Sicherheitsupdates für OpenSSL 1.1.0 und 1.0.2 zur Verfügung, um beide Schwachstellen zu beheben. Außerdem steht ein Backport-Sicherheitsupdate für OpenSSL 1.0.1 für die alte stabile Distribution Jessie bereit. Die Distribution Jessie war nur von der Schwachstelle CVE-2017-3735, jedoch nicht von CVE-2017-3736 betroffen.

  • Version: 2

    Der Hersteller hat mit OpenSSL Security Advisory [02 Nov 2017] nun Sicherheitsupdates für die unterstützten Versionszweige veröffentlicht und informiert zusätzlich über die Schwachstelle CVE-2017-3736, welche einem entfernten, nicht authentisierter Angreifer, der Online-Zugriff auf ein angreifbares System hat, ermöglicht, private Schlüssel zu ermitteln und damit sensible Informationen auszuspähen. Benutzer von OpenSSL 1.1.0 sollten auf die neue Version 1.1.0g und Benutzer von OpenSSL 1.0.2 auf die neue Version 1.0.2m aktualisieren, um gegen beide Schwachstellen geschützt zu sein.

  • Version: 1

    Neues Advisory

Beschreibung

OpenSSL ist eine freie Software, die kryptographische Funktionen und Protokolle implementiert. Bestandteil ist auch das TLS-Protokoll (Transport Layer Security). Es wurde ursprünglich als Secure Socket Layer entwickelt und ist immer noch unter dem Namen SSL bekannt.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in OpenSSL ausnutzen, um falsche Informationen in der Textansicht eines X.509-Zertifikats darzustellen. Da die Herkunft der Informationen in einem nicht dafür vorgesehenen Speicherbereich liegt, lassen sich dadurch möglicherweise auch Informationen ausspähen. Der Hersteller informiert über die Schwachstelle in allen Versionen von OpenSSL seit 2006 und stellt über das Quellcode-Repository einen Patch bereit (siehe Referenz 'Pull-Request #4276'). Aufgrund des geringen Schweregrades der Schwachstelle verzichtet der Hersteller in diesem Fall auf ein eigenständiges Release zur Behebung der Schwachstelle.

  1. Pull-Request #4276: Avoid out-of-bounds read

  2. OpenSSL Security Advisory [28 Aug 2017]

  3. Schwachstelle CVE-2017-3735 (NVD)

  4. OpenSSL Security Advisory [02 Nov 2017]

  5. Schwachstelle CVE-2017-3736 (NVD)

  6. Debian Security Advisory DSA-4017-1

  7. Debian Security Advisory DSA-4018-1

  8. Ubuntu Security Notice USN-3475-1

  9. SUSE Security Update SUSE-SU-2017:2968-1

  10. Fedora Security Update FEDORA-2017-4cf72e2c11 (Fedora 27, openssl-1.1.0g-1)

  11. Fedora Security Update FEDORA-2017-512a6c5aae (Fedora 27, compat-openssl10-1.0.2m-1)

  12. Fedora Security Update FEDORA-2017-55a3247cfd (Fedora 25, openssl-1.0.2m-1)

  13. Fedora Security Update FEDORA-2017-7f30914972 (Fedora 26, compat-openssl10-1.0.2m-1)

  14. Fedora Security Update FEDORA-2017-dbec196dd8 (Fedora 26, openssl-1.1.0g-1)

  15. SUSE Security Update SUSE-SU-2017:2981-1

  16. FreeBSD Security Advisory FreeBSD-SA-17%3A11.openssl

  17. SUSE Security Update SUSE-SU-2017:3169-1

  18. openSUSE Security Update openSUSE-SU-2017:3192-1

  19. F5 Networks Security Advisory K14363514: OpenSSL vulnerability CVE-2017-3736

  20. IBM Security Advisory openssl_advisory24.asc

  21. IBM PSIRT Blog: Vulnerability in OpenSSL affects AIX (CVE-2017-3735)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.