Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is gemiddeld Schadeniveau is hoog NCSC-2016-0406 [1.07]

Meerdere kwetsbaarheden verholpen in OpenSSL

23-09-2016 - Er bevinden zich meerdere kwetsbaarheden in OpenSSL. Er zijn updates beschikbaar gesteld om de kwetsbaarheden te verhelpen.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

######################## UPDATE 1.07 #############################

Titel           : Meerdere kwetsbaarheden verholpen in OpenSSL
Advisory ID     : NCSC-2016-0406
Versie          : 1.07
Kans            : medium
CVE ID          : CVE-2016-0799, CVE-2016-2105, CVE-2016-2106,
                  CVE-2016-2107, CVE-2016-2108, CVE-2016-2109,
                  CVE-2016-2842
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160923
Toepassing      : OpenSSL
                  F5 BIG-IP
                  IBM Security Access Manager
Versie(s)       : 
Platform(s)     : CentOS
                  Fedora
                  OpenSUSE
                  Red Hat
                  SUSE
                  AIX
                  OpenBSD

Update
   F5 heeft voor een aantal van de kwetsbaarheden updates of
   mitigerende maatregelen beschikbaar gemaakt. Zie "Mogelijke
   oplossingen" voor meer informatie.
   
   IBM en OpenBSD heeft updates beschikbaar gemaakt om de
   kwetsbaarheden in AIX en OpenBSD te verhelpen.  Zie "Mogelijke
   oplossingen" voor meer informatie.

Samenvatting
   Er bevinden zich meerdere kwetsbaarheden in OpenSSL. Er zijn updates
   beschikbaar gesteld om de kwetsbaarheden te verhelpen.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden misbruiken voor het
   uitvoeren van een Denial-of-Service-aanval, het ontsleutelen van
   gevoelige gegevens of het uitvoeren van willekeurige code met de
   rechten van de gebruiker. 

Beschrijving
   - CVE-2016-0799
   Meerdere kwetsbaarheden in OpenSSL stellen een kwaadwillende
   mogelijk in staat om willekeurige geheugenadressen te lezen of
   schrijven.
   
   - CVE-2016-2105
   OpenSSL is kwetsbaar voor een overflow in de
   EVP_EncodeUpdate-functie. Een kwaadwillende kan deze kwetsbaarheid
   mogelijk misbruiken voor het veroorzaken van een Denial-of-Service
   of het uitvoeren van willekeurige code. 
      
   - CVE-2016-2106
   OpenSSL is kwetsbaar voor een overflow in de
   EVP_EncryptUpdate-functie. Een kwaadwillende kan deze kwetsbaarheid
   mogelijk misbruiken voor het veroorzaken van een Denial-of-Service
   of het uitvoeren van willekeurige code. 
      
   - CVE-2016-2107
   OpenSSL is kwetsbaar voor een man-in-the-middle-aanval indien de
   verbinding gebruikmaakt van een AES-CBC cipher en de server AES-NI
   ondersteunt. Een kwaadwillende kan deze kwetsbaarheid misbruiken om
   netwerkverkeer te ontsleutelen en zo toegang te verkrijgen tot
   gevoelige gegevens.
      
   - CVE-2016-2108
   Er bevindt zich een out-of-bounds-write-kwetsbaarheid in de
   ASN.1-parser. Bij het parseren van een ANY-structure kan de
   ASN.1-parser een universal tag incorrect interpreteren als een
   negative-zero-waarde. Een kwaadwillende kan deze kwetsbaarheid
   misbruiken voor het veroorzaken van een Denial-of-Service of het
   uitvoeren van willekeurige code.
    
   - CVE-2016-2109
   Door de manier waarop de ASN.1-parser data inleest, kan er in
   sommige gevallen een bovenmatige hoeveelheid geheugen door het
   systeem worden gealloceerd. Dit heeft negatieve impact op de
   prestaties van het systeem. Een kwaadwillende kan deze kwetsbaarheid
   misbruiken om een Denial-of-Service te veroorzaken.
   
   - CVE-2016-2842
   Er bevindt zich een out-of-bounds-write-kwetsbaarheid in OpenSSL.
   Een kwaadwillende op afstand kan de kwetsbaarheid mogelijk
   misbruiken om een Denial-of-Service aanval uit te voeren middels een
   malafide string-waarde.

Mogelijke oplossingen
   -= CentOS =-
   CentOS heeft updates beschikbaar gesteld voor CentOS 5
   (CVE-2016-2108) en 7 om de kwetsbaarheden te verhelpen. U kunt deze
   updates installeren met behulp van het commando 'yum'. Voor meer
   informatie en een eventueel handmatige installatie, zie:
   
   CentOS 5:
   https://rhn.redhat.com/errata/RHSA-2016-1137.html
   
   CentOS 7:
   http://rhn.redhat.com/errata/RHSA-2016-0722.html
   
   -= F5 =-
   F5 heeft updates uitgebracht voor BIG-IP om de kwetsbaarheden met
   CVE-ID CVE-2016-2105, CVE-2016-2107, CVE-2016-2108 en CVE-2016-2109
   te verhelpen. Tevens heeft F5 bekend gemaakt dat BIG-IP kwetsbaar is
   voor de kwetsbaarheid met CVE-ID CVE-2016-2106. F5 heeft nog geen
   updates beschikbaar om deze kwetsbaarheid te verhelpen. Voor meer
   informatie, zie:
   
   CVE-2016-2105:
   https://support.f5.com/kb/en-us/solutions/public/k/51
      /sol51920288.html?ref=rss
   
   CVE-2016-2106:
   https://support.f5.com/kb/en-us/solutions/public/k/36
      /sol36488941.html?ref=rss
   
   CVE-2016-2107:
   https://support.f5.com/kb/en-us/solutions/public/k/93
      /sol93600123.html?ref=rss
   
   CVE-2016-2108:
   https://support.f5.com/kb/en-us/solutions/public/k/75
      /sol75152412.html?ref=rss
   
   CVE-2016-2109:
   https://support.f5.com/kb/en-us/solutions/public/k/23
      /sol23230229.html
   
   -= Fedora =-
   Fedora heeft updates beschikbaar gesteld voor Fedora 22 en 23 om de
   kwetsbaarheden met CVE-ID CVE-2016-2105, CVE-2016-2106,
   CVE-2016-2107 en CVE-2016-2108 te verhelpen. U kunt deze updates
   installeren met behulp van het commando 'dnf' of 'yum'. Meer
   informatie over deze updates en over een eventueel handmatige
   installatie vindt u op:
   
   Fedora 22:
   https://lists.fedoraproject.org/pipermail/package-announce/2016-May
      /184605.html
   
   Fedora 23:
   https://lists.fedoraproject.org/pipermail/package-announce/2016-May
      /183457.html
   
   -= OpenBSD =-
   OpenBSD  heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in openSSL. Meer informatie over deze updates vindt u op:
   
   http://www.openbsd.org/errata58.html
   
   -= IBM =-
   IBM heeft updates voor Security Access Manager en AIX beschikbaar
   gesteld om de kwetsbaarheden te verhelpen. Zie voor meer informatie:
   
   Security Access Manager:
   http://www-01.ibm.com/support/docview.wss?uid=swg21987903
   
   AIX:
   http://aix.software.ibm.com/aix/efixes/security
      /openssl_advisory20.asc
   
   -= OpenSUSE =-
   De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om
   de kwetsbaarheden met CVE-ID CVE-2016-2105, CVE-2016-2106,
   CVE-2016-2108 en CVE-2016-2109 te verhelpen in OpenSUSE Leap 42.1. U
   kunt deze aangepaste packages installeren door gebruik te maken van
   'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig
   downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer
   informatie, zie:
   
   https://lists.opensuse.org/opensuse-security-announce/2016-05
      /msg00030.html
   
   -= Red Hat =-
   Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise
   Linux 6 en Red Hat Enterprise Linux 7. U kunt deze updates
   installeren met behulp van het commando 'yum'. Meer informatie over
   deze updates en over een eventueel handmatige installatie vindt u op
   de volgende webpagina's.
   
   Red Hat Enterprise Linux 6:
   https://access.redhat.com/errata/RHSA-2016:0996
   
   Red Hat Enterprise Linux 7:
   http://rhn.redhat.com/errata/RHSA-2016-0722.html
   
   -= SUSE =-
   SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden met
   CVE-ID CVE-2016-2105, CVE-2016-2106, CVE-2016-2108 en CVE-2016-2109
   te verhelpen in SUSE 11 en 12. U kunt deze aangepaste packages
   installeren door gebruik te maken van 'YaST'. U kunt de packages ook
   handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor
   meer informatie, zie:
   
   SUSE 10:
   https://lists.opensuse.org/opensuse-security-announce/2016-05
      /msg00055.html
   
   SUSE 11:
   https://www.suse.com/support/update/announcement/2016
      /suse-su-20161290-1.html
   
   SUSE 12:
   https://lists.opensuse.org/opensuse-security-announce/2016-05
      /msg00029.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=7ldT
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017