[Warning] Sicherheitsprobleme mit OpenSSL
Robert Waldner
waldner at cert.at
Thu Jun 5 14:04:31 CEST 2014
5. Juni 2014
Das OpenSSL-Projekt hat eine Warnung bezüglich mehrerer
sicherheitsrelevanter Schwachstellen veröffentlicht:
https://www.openssl.org/news/secadv_20140605.txt
Beschreibung
Es besteht die Möglichkeit von Remote Code Execution, Denial Of
Service und Man-in-the-middle Attacken. Diese können sowohl OpenSSL
Clients als auch Server betreffen.
Auswirkungen
Noch sind keine Angriffe, die diese Schwachstellen ausnutzen,
bekannt. Es ist allerdings davon auszugehen, dass diverse Akteure
nun mit Hochdruck versuchen werden, dies zu tun.
Details zu den wichtigsten Schwachstellen:
* Potential für Man-in-the-middle - Attacke
Falls Client und Server verwundbare OpenSSL-Versionen verwenden,
ist es einem Angreifer am Netzwerk dazwischen möglich, schwache
Verschlüsselungs- Algorithmen zu erzwingen und dann entsprechend
den verschlüsselten Verkehr mitzulesen bzw. zu verändern.
Eintrag in der CVE-Datenbank: CVE-2014-0224
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
* Potentielle Remote Code Execution
In OpenSSL DTLS Clients und Servern exisiert ein Fehler, der es
einem Angreifer ermöglichen könnte, beliebigen Code auszuführen.
Eintrag in der CVE-Datenbank: CVE-2014-0195
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195
Weiters existieren Schwachstellen, die etwa OpenSSL Clients bzw.
Server zum Absturz bringen können, Details dazu finden sich im
Advisory von OpenSSL.
Betroffene Systeme
Systeme, die OpenSSL in folgenden Versionen einsetzen, sind
verwundbar:
* OpenSSL 0.9.8y und früher
* OpenSSL 1.0.1g und früher
* OpenSSL 1.0.2-beta1 und früher
Weiters sind auch alle Systeme/Services betroffen, auf denen eigens
kompilierte/installierte Versionen von OpenSSL eingesetzt werden.
Auch Installationen von zB "SSL-VPN"-Services können betroffen sein.
Auch Endbenutzer sollten ihre Systeme auf Verwendung von verwundbaren
OpenSSL-Versionen überprüfen, dies betrifft auch besonders Benutzer
von mobilen Geräten wie Smartphones/Tablets.
Abhilfe
Es wird dringend empfohlen, die von den Betriebssystemen
bereitgestellten Patches zu installieren, beziehungsweise auf
folgende OpenSSL-Versionen upzugraden:
* OpenSSL 0.9.8 auf 0.9.8za
* OpenSSL 1.0.0 auf 1.0.0m
* OpenSSL 1.0.1 auf 1.0.1h
Software-Entwickler/-Hersteller, die OpenSSL in eigenen
Projekten/Programmen einsetzen, sollten ebenfalls neue Versionen, die
die entsprechenden Updates beinhalten, ausliefern.
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
Informationsquelle(n):
OpenSSL Security Advisory (englisch)
https://www.openssl.org/news/secadv_20140605.txt
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20140605/d9267cee/attachment.sig>
More information about the Warning
mailing list