[Warning] Sicherheitsprobleme mit OpenSSL

Robert Waldner waldner at cert.at
Thu Jun 5 14:04:31 CEST 2014 

5. Juni 2014

   Das OpenSSL-Projekt hat eine Warnung bezüglich mehrerer
   sicherheitsrelevanter Schwachstellen veröffentlicht:
   https://www.openssl.org/news/secadv_20140605.txt

Beschreibung

   Es besteht die Möglichkeit von Remote Code Execution, Denial Of
   Service und Man-in-the-middle Attacken. Diese können sowohl OpenSSL
   Clients als auch Server betreffen.

Auswirkungen

   Noch sind keine Angriffe, die diese Schwachstellen ausnutzen,
   bekannt. Es ist allerdings davon auszugehen, dass diverse Akteure
   nun mit Hochdruck versuchen werden, dies zu tun.

   Details zu den wichtigsten Schwachstellen:
     * Potential für Man-in-the-middle - Attacke
       Falls Client und Server verwundbare OpenSSL-Versionen verwenden,
       ist es einem Angreifer am Netzwerk dazwischen möglich, schwache
       Verschlüsselungs- Algorithmen zu erzwingen und dann entsprechend
       den verschlüsselten Verkehr mitzulesen bzw. zu verändern.
       Eintrag in der CVE-Datenbank: CVE-2014-0224
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
     * Potentielle Remote Code Execution
       In OpenSSL DTLS Clients und Servern exisiert ein Fehler, der es
       einem Angreifer ermöglichen könnte, beliebigen Code auszuführen.
       Eintrag in der CVE-Datenbank: CVE-2014-0195
       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195

   Weiters existieren Schwachstellen, die etwa OpenSSL Clients bzw.
   Server zum Absturz bringen können, Details dazu finden sich im
   Advisory von OpenSSL.

Betroffene Systeme

   Systeme, die OpenSSL in folgenden Versionen einsetzen, sind
   verwundbar:
     * OpenSSL 0.9.8y und früher
     * OpenSSL 1.0.1g und früher
     * OpenSSL 1.0.2-beta1 und früher

   Weiters sind auch alle Systeme/Services betroffen, auf denen eigens
   kompilierte/installierte Versionen von OpenSSL eingesetzt werden.
   Auch Installationen von zB "SSL-VPN"-Services können betroffen sein.

   Auch Endbenutzer sollten ihre Systeme auf Verwendung von verwundbaren
   OpenSSL-Versionen überprüfen, dies betrifft auch besonders Benutzer
   von mobilen Geräten wie Smartphones/Tablets.

Abhilfe

   Es wird dringend empfohlen, die von den Betriebssystemen
   bereitgestellten Patches zu installieren, beziehungsweise auf
   folgende OpenSSL-Versionen upzugraden:
     * OpenSSL 0.9.8 auf 0.9.8za
     * OpenSSL 1.0.0 auf 1.0.0m
     * OpenSSL 1.0.1 auf 1.0.1h

   Software-Entwickler/-Hersteller, die OpenSSL in eigenen
   Projekten/Programmen einsetzen, sollten ebenfalls neue Versionen, die
   die entsprechenden Updates beinhalten, ausliefern.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   OpenSSL Security Advisory (englisch)
   https://www.openssl.org/news/secadv_20140605.txt


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20140605/d9267cee/attachment.sig>

More information about the Warning mailing list