Kurzinfo CB-K19/0109

2 Risiko: niedrig
Information zu Schwachstellen und Sicherheitslücken
Titel: OSCI-Transport Bibliothek: Eine Schwachstelle ermöglicht das Ausspähen von Informationen
Datum: 05.02.2019
Software: OSCI-Transport Bibliothek
Plattform: Java, .NET
Auswirkung: Ausspähen von Informationen
Remoteangriff: Ja
Risiko: niedrig
Bezug: Advisory der KoSIT
Beschreibung

OSCI-Transport ist ein Protokollstandard für die sichere, vertrauliche und rechtsverbindliche Übertragung elektronischer Daten im e-Government. Für die Integration von OSCI-Transport in Transportverfahren wird die OSCI-Transport Bibliothek durch die KoSIT veröffentlicht. Ausgangspunkt für die Sicherheitsempfehlung der KoSIT sind die Ergebnisse eines Tests der Firma SEC Consult und darauf aufbauende Prüfungen der Firma Governikus, die der KoSIT zur Verfügung gestellt wurden.

Ein entfernter Angreifer, der die Position als Man-in-the-Middle erlangt hat, kann zwei Schwachstellen ausnutzen:

  • Eine Schwachstelle ermöglicht es, sensitive Transportinformationen einer einzelnen, mit AES-CBC verschlüsselten Kommunikation auszuspähen.

  • Die andere Schwachstelle ermöglicht in unverschlüsselten Nachrichten bzw. bei Zugriff auf entschlüsselte Transportnachrichten die Manipulation von signierten Transportdaten einzelner Transportnachrichten ohne Einfluss auf die Gültigkeit der Signatur.

Betroffen sind alle Server-Produkte, in denen die OSCI-Transport Bibliothek eingesetzt wird. Ein sicherer Betrieb der OSCI-Infrastruktur verringert die Auswirkungen der Angriffe und erschwert die Ausführung der Angriffe. Die KoSIT informiert Hersteller und Anwender von Transportverfahren über die Schwachstellen in der OSCI-Transport Bibliothek und stellt den Herstellern ein Sicherheitsupdate im Rahmen des Updates auf die Versionen 1.8.3 (Java und .NET) zur Verfügung. [1] Den Anwendern wird empfohlen, die Informationen der Hersteller zu Produktaktualisierungen und Sicherheitsupdates zu berücksichtigen.

  1. Advisory der KoSIT zu den angegebenen Schwachstellen

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.