Nationaal Cyber Security Centrum - Ministerie van Veiligheid en Justitie

Beveiligingsadvies

Kansniveau is hoog Schadeniveau is hoog NCSC-2016-0859 [1.00]

Kwetsbaarheden verholpen in OpenSSL

27-09-2016 - De ontwikkelaars van OpenSSL hebben meerdere kwetsbaarheden verholpen. De kwetsbaarheid met CVE-2016-6309 is geïntroduceerd door het verhelpen van CVE-2016-6307 in OpenSSL 1.1.0a.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Kwetsbaarheden verholpen in OpenSSL
Advisory ID     : NCSC-2016-0859
Versie          : 1.00
Kans            : high
CVE ID          : CVE-2016-6309, CVE-2016-7052
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Denial-of-Service (DoS)
                  Remote code execution (Gebruikersrechten)
Uitgiftedatum   : 20160927
Toepassing      : OpenSSL
                  
Versie(s)       : 1.1.0a, 1.0.2i
Platform(s)     : FreeBSD
                  Linux

Samenvatting
   De ontwikkelaars van OpenSSL hebben meerdere kwetsbaarheden
   verholpen. De kwetsbaarheid met CVE-2016-6309 is geïntroduceerd door
   het verhelpen van CVE-2016-6307 in OpenSSL 1.1.0a.

Gevolgen
   Een kwaadwillende op afstand kan de kwetsbaarheden mogelijk
   misbruiken om een Denial-of-Service te veroorzaken of om
   willekeurige code uit te voeren onder de rechten van het
   OpenSSL-proces.

Beschrijving
   - CVE-2016-6309
   Deze kwetsbaarheid is geïntroduceerd door het verhelpen van de
   kwetsbaarheid met CVE-ID CVE-2016-6307 (beschreven in
   NCSC-2016-0854) in OpenSSL 1.1.0a. Bij het verwerken van berichten
   groter dan ongeveer 16k blijft er mogelijk een pointer naar een
   ongeldig geheugenadres wijzen. Een kwaadwillende kan de
   kwetsbaarheid mogelijk misbruiken om een Denial-of-Service-aanval
   uit te voeren of om willekeurige code uit te voeren met de rechten
   van de applicatie.
   
   - CVE-2016-7052
   Er bevindt zich een kwetsbaarheid in de CRL-sanity-check van
   OpenSSL. Deze controle is toegevoegd in versie 1.1.0, maar was
   achterwege gelaten in versie 1.0.2i. Hierdoor kan het gebruik van
   CRLs in OpenSSL 1.0.2i een crash veroorzaken door een
   null-pointer-exception. Een kwaadwillende op afstand kan de
   kwetsbaarheid mogelijk misbruiken om een Denial-of-Service-aanval
   uit te voeren.

Mogelijke oplossingen
   OpenSSL heeft versie 1.1.0b en 1.0.2 uitgebracht om de
   kwetsbaarheden te verhelpen. Voor meer informatie, zie:
   
   https://www.openssl.org/news/secadv/20160926.txt
   
   -= FreeBSD =-
   FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te
   verhelpen in OpenSSL. U kunt deze updates installeren via
   freebsd-update. Meer informatie over deze updates vindt u op:
   
   http://www.vuxml.org/freebsd
      /91a337d8-83ed-11e6-bf52-b499baebfeaf.html

Hyperlinks
   https://www.ncsc.nl/dienstverlening
      /response-op-dreigingen-en-incidenten/beveiligingsadviezen
      /NCSC-2016-0854+1.02+Kwetsbaarheden+verholpen+in+OpenSSL.html

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=MyEE
-----END PGP SIGNATURE-----

Wat is het NCSC?

NCSCstill

CSBN 2017

CSBN 2017