Über unsMediaKontaktImpressum
12. Januar 2015

Debian Security Update (openssl)

Mehrere Sicherheitslücken in OpenSSL (Secure Socket Layer Toolkit) wurden gefunden. Package: openssl
CVE ID: CVE-2014-3569 CVE-2014-3570 CVE-2014-3571 CVE-2014-3572 CVE-2014-8275 CVE-2015-0204 CVE-2015-0205 CVE-2015-0206 CVE-2014-3569
Frank Schmirler berichtet, dass die Funktion ssl23_get_client_hello in OpenSSL Versuche, über nicht supportete Protokolle zuzugreifen, nicht korrekt handhabt. CVE-2014-3570
Pieter Wuille berichtet, dass bignum squaring (BN_sqr) auf einigen Plattformen unkorrekte Ergebnisse produziert. Diese machen es einem Remote-Angreifer einfacher, kryptographische Meschanismen auszuhebeln. CVE-2014-3571
Markus Stenberg berichtet, dass eine DTL-Nachricht in einen segmentation fault in OpenSSL resultieren kann, den ein Remote-Angreifer für eine Denial of Service-Attacke (DoS) nutzen kann. CVE-2014-3572
Karthikeyan Bhargavan berichtet, dass ein OpenSSL Client einen Handshake annimmt, bei dem eine server key exchange message umgangen werden kann.  CVE-2014-8275
Antti Karjalainen, Tuomo Untinen sowie Konrad Kraszewski berichten mehrere Probleme rund um Zertifikat-Fingerprints. Damit kann ein Fingerprint-basierter Schutz mit Verwendung von Zertifikat-Blacklisten umgangen werden.

CVE-2015-0204
Karthikeyan Bhargavan berichtet, dass ein OpenSSL Client den TLS-Standard unterlaufen kann. CVE-2015-0205
Karthikeyan Bhargavan berichtet, dass ein OpenSSL Server DH-Zertifikate für Client Authentication ohne eine Verifzierung des Zertifikats erlaubt. CVE-2015-0206
Chris Mueller fand ein memory leak in der Funktion dtls1_buffer_record. Ein Remote-Angreifer kann dies zu einer Denial of Service-Attacke (DoS-Attacke) über Memory nutzen, bei der DTLS records wiederholt gesendet werden. Für die Stable Distribution Wheezy wurden diese Sicherheitslücken mit Version 1.0.1e-2+deb7u14 behoben. In der Unstable Distribution Sid sind sie mit Version 1.0.1k-1 gefixt. Für die nächste Stable Distribution Jessie wird es in Kürze einen Fix geben. Eine Aktualisierung der OpenSSL-Packages ist empfehlenswert. Weitere Informationen gibt es hier.
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.