Über unsMediaKontaktImpressum
12. Januar 2015

Ubuntu Security Update (openssl)

Mehrere OpenSSL-Sicherheitslücken wurden in Ubuntu behoben. Betroffen sind:

  • Ubuntu 14.10
  • Ubuntu 14.04 LTS
  • Ubuntu 12.04 LTS
  • Ubuntu 10.04 LTS

Die Sicherheitslücken sind in openssl enthalten (Secure Socket Layer (SSL) cryptographic library and tools).

Pieter Wuille fand in OpenSSL eine nicht korekte Handhabung des Bignum squaring. (CVE-2014-3570)

Markus Stenberg fand in OpenSSL die fehlerhafte Verarbeitung von DTLS Messages. Ein Remote-Angreifer kann so über einen Crash ein Denial of Service (DoS) verursachen. (CVE-2014-3571)

Karthikeyan Bhargavan fand einige nicht korrekte Handshakes in OpenSSL. Ein Remote-Angreifer kann so für ECDH ein Downgrade erreichen. (CVE-2014-3572)

Antti Karjalainen, Tuomo Untinen und Konrad Kraszewski fanden heraus, dass OpenSSL Certificate Fingerprints nicht korrekt handhabt. (CVE-2014-8275)

Karthikeyan Bhargavan entdeckte, dass OpenSSL Key Exchanges falsch handhaben kann. Ein Remote-Angreifer kann so die Sicherheitsstufe einer Session über ein Downgrade herunterstufen. (CVE-2015-0204)

Karthikeyan Bhargavan fand heraus, dass OpenSSL die Client-Authentifizerung fehlerhaft handhabt. Ein Remote-Angreifer kann so eine Authentifizierung ohne Private Key in einigen wenigen Fällen erreichen. Davon sind nur Ubuntu 14.04 LTS und Ubuntu 14.10 betroffen. (CVE-2015-0205)

Chris Mueller fand heraus, dass OpenSSL den Memory bei der Verarbeitung von DTLS-Records fehlerhaft handhabt. Ein Remote-Angreifer kann so ein Denial of Service (DoS) erreichen. Dies betrifft nur Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10.(CVE-2015-0206)

Folgende Package-Versionen sollten angewandt werden, um obige Sicherheitslücken zu schließen:

Ubuntu 14.10:
 libssl1.0.0                     1.0.1f-1ubuntu9.1

Ubuntu 14.04 LTS:
 libssl1.0.0                     1.0.1f-1ubuntu2.8

Ubuntu 12.04 LTS:
 libssl1.0.0                     1.0.1-4ubuntu5.21

Ubuntu 10.04 LTS:
 libssl0.9.8                     0.9.8k-7ubuntu8.23

Nach einem Standard-System-Update ist ein Reboot erforderlich, um alle notwendigen Änderungen durchzuführen.

Referenzen:
 http://www.ubuntu.com/usn/usn-2459-1
 CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275,
 CVE-2015-0204, CVE-2015-0205, CVE-2015-0206

Package Informationen:
 https://launchpad.net/ubuntu/+source/openssl/1.0.1f-1ubuntu9.1
 https://launchpad.net/ubuntu/+source/openssl/1.0.1f-1ubuntu2.8
 https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.21
 https://launchpad.net/ubuntu/+source/openssl/0.9.8k-7ubuntu8.23

Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.

botMessage_toctoc_comments_9210