Zes kwetsbaarheden verholpen in OpenSSL

Er zijn zes kwetsbaarheden gevonden in OpenSSL. OpenSSL heeft updates uitgebracht om de kwetsbaarheden te verhelpen. De verwachting is dat andere leveranciers binnenkort ook patches zullen uitbrengen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.02 #############################

Titel           : Zes kwetsbaarheden verholpen in OpenSSL
Advisory ID     : NCSC-2012-0005
Versie          : 1.02
Kans            : medium
CVE ID          : CVE-2011-4108, CVE-2011-4109, CVE-2011-4576,
                  CVE-2011-4577, CVE-2011-4619, CVE-2012-0027
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial of Service (DoS)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20120111
Toepassing      : GNU GnuTLS
                  OpenSSL
Versie(s)       : 
Platform(s)     : Apple Mac OS X
                  Fedoraproject Fedora
                  Fedoraproject Fedora Core
                  Linux
                  Microsoft Windows
                  UNIX

Update
   Fedora heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen voor Fedora 15 en 16. Zie "Mogelijke oplossingen" voor
   meer informatie.

Samenvatting
   Er zijn zes kwetsbaarheden gevonden in OpenSSL. OpenSSL heeft
   updates uitgebracht om de kwetsbaarheden te verhelpen. De
   verwachting is dat andere leveranciers binnenkort ook patches
   zullen uitbrengen.

Gevolgen
   Wanneer de kwetsbaarheden worden uitgebuit kan een aantal
   verschillende vormen van schade worden veroorzaakt. Deze zijn het
   lekken van gevoelige gegevens, een Denial of Service (DoS) en
   mogelijk de uitvoer van willekeurige code.

Beschrijving
   Er zijn zes kwetsbaarheden ontdekt in OpenSSL, waarmee
   verschillende vormen van schade kunnen worden veroorzaakt. OpenSSL
   heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Naar
   verwachting zullen andere leveranciers ook updates uitbrengen om
   deze issues te adresseren.
   
   - CVE-2011-4108
   Een kwetsbaarheid in de OpenSSL implementatie van Datagram
   Transport Layer Security (DTLS) is vatbaar voor een variatie van de
   padding oracle aanval tegen versleuteling via Cipher Block
   Chaining. Meer informatie over deze aanval is te vinden via:
   http://www.isg.rhul.ac.uk/~kp/dtls.pdf
   
   - CVE-2011-4109
   Zodra de X509_V_FLAG_POLICY_CHECK is gezet in OpenSSL 0.9.8 kan een
   policy check mogelijk leiden tot een double-free situatie. Deze
   situatie kan als gevolg hebben dat een aanvaller controle heeft
   over het dubbel vrijgegeven stuk geheugen. In specifieke gevallen
   kan dit leiden tot een buffer overflow. Deze kwetsbaarheid is
   alleen aanwezig in OpenSSL 0.9.8.
   
   - CVE-2011-4576
   Omdat OpenSSL geen data verwijdert uit de bytes die worden gebruikt
   als block cipher padding in SSL 3.0 velden, kan mogelijk gevoelige
   data worden gelekt. Het probleem komt voor wanneer de
   SSLv3_{server|client}_method of de SSLv23_{server|client}_method
   wordt aangeroepen. In theorie kan elk SSL 3.0 record dat wordt
   verzonden 15 bytes aan gevoelige data bevatten. In de meeste
   installaties zal er slechts één buffer met gevoelige informatie
   per verbinding worden overgestuurd.
   
   - CVE-2011-4577
   Volgens RFC 3779 kan zowel IP als AS informatie worden opgenomen in
   een X.509 certificaat. Wanneer een certificaat speciaal
   gefabriceerde informatie bevat in de hiervoor bestemde velden, kan
   de OpenSSL instantie crashen, met een DoS als gevolg.
   
   - CVE-2011-4619
   Een aanvaller kan een DoS aanval uitvoeren vanwege het feit dat de
   kwetsbare versies van OpenSSL Handshake Restarts in Server Gated
   Cryptography (SGC) ondersteunen. Er zijn geen details bekend
   gemaakt over deze kwetsbaarheid.
   
   - CVE-2012-0027
   Een OpenSSL installatie waarbij gebruik wordt gemaakt van de
   OpenSSL GHOST ENGINE is vatbaar voor DoS. Een aanvaller kan deze
   aanval uitvoeren door ongeldige GHOST parameters naar de server te
   sturen.

Mogelijke oplossingen
   -= Fedora =-
   Fedora heeft updates beschikbaar gemaakt voor Fedora 15, 16. U kunt
   deze updates installeren met behulp van het commando 'yum'. Meer
   informatie over deze updates en over een eventuele handmatige
   installatie vindt u op:
   
   http://permalink.gmane.org
      /gmane.linux.redhat.fedora.package.announce/71375
   https://bugzilla.redhat.com/show_bug.cgi?id=750564
   
   -= GnuTLS =-
   GnuTLS heeft versie 3.0.11 uitgebracht om de kwetsbaarheid met ID
   CVE-2012-0390 te verhelpen. Voor meer informatie en de manier waar
   deze versie kan worden gedownload, zie:
   http://article.gmane.org/gmane.comp.encryption.gpg.gnutls.devel
      /5657
   
   -= OpenSSL =-
   OpenSSL heeft OpenSSL versies 1.0.0f en 0.9.8s uitgebracht om de
   kwetsbaarheden te verhelpen. U kunt deze versies downloaden vanaf
   de OpenSSL website:
   http://openssl.org/source/

Hyperlinks
   http://openssl.org/news/secadv_20120104.txt

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: PGP Desktop 10.1.1 (Build 10)
Charset: utf-8

wlcDBQFPDag9Q+C/3OQykckRCNA3AP0TFUGK5G0u+hdW8RqXxmciVcZmXjtSF6eK
BvIvV+edNAD/WaoB5aCGfPnPoecAy715dx9aDUYC3pjmtiN2WQGUABI=
=LWdQ
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2019

Nederland digitaal veilig