Ubuntu Security Update (openssl)
Mehrere OpenSSL-Sicherheitslücken wurden in Ubuntu behoben. Betroffen sind:
- Ubuntu 14.10
- Ubuntu 14.04 LTS
- Ubuntu 12.04 LTS
- Ubuntu 10.04 LTS
Die Sicherheitslücken sind in openssl enthalten (Secure Socket Layer (SSL) cryptographic library and tools).
Pieter Wuille fand in OpenSSL eine nicht korekte Handhabung des Bignum squaring. (CVE-2014-3570)
Markus Stenberg fand in OpenSSL die fehlerhafte Verarbeitung von DTLS Messages. Ein Remote-Angreifer kann so über einen Crash ein Denial of Service (DoS) verursachen. (CVE-2014-3571)
Karthikeyan Bhargavan fand einige nicht korrekte Handshakes in OpenSSL. Ein Remote-Angreifer kann so für ECDH ein Downgrade erreichen. (CVE-2014-3572)
Antti Karjalainen, Tuomo Untinen und Konrad Kraszewski fanden heraus, dass OpenSSL Certificate Fingerprints nicht korrekt handhabt. (CVE-2014-8275)
Karthikeyan Bhargavan entdeckte, dass OpenSSL Key Exchanges falsch handhaben kann. Ein Remote-Angreifer kann so die Sicherheitsstufe einer Session über ein Downgrade herunterstufen. (CVE-2015-0204)
Karthikeyan Bhargavan fand heraus, dass OpenSSL die Client-Authentifizerung fehlerhaft handhabt. Ein Remote-Angreifer kann so eine Authentifizierung ohne Private Key in einigen wenigen Fällen erreichen. Davon sind nur Ubuntu 14.04 LTS und Ubuntu 14.10 betroffen. (CVE-2015-0205)
Chris Mueller fand heraus, dass OpenSSL den Memory bei der Verarbeitung von DTLS-Records fehlerhaft handhabt. Ein Remote-Angreifer kann so ein Denial of Service (DoS) erreichen. Dies betrifft nur Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 14.10.(CVE-2015-0206)
Folgende Package-Versionen sollten angewandt werden, um obige Sicherheitslücken zu schließen:
Ubuntu 14.10:
libssl1.0.0 1.0.1f-1ubuntu9.1
Ubuntu 14.04 LTS:
libssl1.0.0 1.0.1f-1ubuntu2.8
Ubuntu 12.04 LTS:
libssl1.0.0 1.0.1-4ubuntu5.21
Ubuntu 10.04 LTS:
libssl0.9.8 0.9.8k-7ubuntu8.23
Nach einem Standard-System-Update ist ein Reboot erforderlich, um alle notwendigen Änderungen durchzuführen.
Referenzen:
http://www.ubuntu.com/usn/usn-2459-1 CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275,
CVE-2015-0204, CVE-2015-0205, CVE-2015-0206
Package Informationen:
https://launchpad.net/ubuntu/+source/openssl/1.0.1f-1ubuntu9.1 https://launchpad.net/ubuntu/+source/openssl/1.0.1f-1ubuntu2.8 https://launchpad.net/ubuntu/+source/openssl/1.0.1-4ubuntu5.21 https://launchpad.net/ubuntu/+source/openssl/0.9.8k-7ubuntu8.23