Über unsMediaKontaktImpressum
12. Januar 2015

Ubuntu Security Update (openssl)

Mehrere OpenSSL-Sicherheitslücken wurden in Ubuntu behoben. Betroffen sind:
  • Ubuntu 14.10
  • Ubuntu 14.04 LTS
  • Ubuntu 12.04 LTS
  • Ubuntu 10.04 LTS
Die Sicherheitslücken sind in openssl enthalten (Secure Socket Layer (SSL) cryptographic library and tools). Pieter Wuille fand in OpenSSL eine nicht korekte Handhabung des Bignum squaring. (CVE-2014-3570) Markus Stenberg fand in OpenSSL die fehlerhafte Verarbeitung von DTLS Messages. Ein Remote-Angreifer kann so über einen Crash ein Denial of Service (DoS) verursachen. (CVE-2014-3571) Karthikeyan Bhargavan fand einige nicht korrekte Handshakes in OpenSSL. Ein Remote-Angreifer kann so für ECDH ein Downgrade erreichen. (CVE-2014-3572) Antti Karjalainen, Tuomo Untinen und Konrad Kraszewski fanden heraus, dass OpenSSL Certificate Fingerprints nicht korrekt handhabt. (CVE-2014-8275) Karthikeyan Bhargavan entdeckte, dass OpenSSL Key Exchanges falsch handhaben kann. Ein Remote-Angreifer kann so die Sicherheitsstufe einer Session über ein Downgrade herunterstufen. (CVE-2015-0204) Karthikeyan Bhargavan fand heraus, dass OpenSSL die Client-Authentifizerung fehlerhaft handhabt. Ein Remote-Angreifer kann so eine Authentifizierung ohne Private Key in einigen wenigen Fällen erreichen. Davon sind nur Ubuntu 14.04 LTS und Ubuntu 14.10 betroffen. (CVE-2015-0205) Chris Mueller fand heraus, dass OpenSSL den Memory bei der Verarbeitung von DTLS-Records fehlerhaft handhabt. Ein Remote-Angreifer kann so ein Denial of Service (DoS) erreichen. Dies betrifft nur Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10.(CVE-2015-0206) Folgende Package-Versionen sollten angewandt werden, um obige Sicherheitslücken zu schließen: Ubuntu 14.10:
 libssl1.0.0                     1.0.1f-1ubuntu9.1 Ubuntu 14.04 LTS:
 libssl1.0.0                     1.0.1f-1ubuntu2.8 Ubuntu 12.04 LTS:
 libssl1.0.0                     1.0.1-4ubuntu5.21 Ubuntu 10.04 LTS:
 libssl0.9.8                     0.9.8k-7ubuntu8.23 Nach einem Standard-System-Update ist ein Reboot erforderlich, um alle notwendigen Änderungen durchzuführen. Referenzen:
 http://www.ubuntu.com/usn/usn-2459-1
 CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275,
 CVE-2015-0204, CVE-2015-0205, CVE-2015-0206 Package Informationen:
 https://launchpad.net/ubuntu/+source/openssl/1.0.1f-1ubuntu9.1
 https://launchpad.net/ubuntu/+source/openssl/1.0.1f-1ubuntu2.8
 https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.21
 https://launchpad.net/ubuntu/+source/openssl/0.9.8k-7ubuntu8.23
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.