Meerdere OpenSSL kwetsbaarheden verholpen in Xerox Workcentre

Xerox heeft een aantal oudere OpenSSL kwetsbaarheden verholpen in de firmware voor Xerox Workcentre Multifunctionals. Zie "Mogelijke oplossingen" voor meer informatie.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Meerdere OpenSSL kwetsbaarheden verholpen in Xerox
                  Workcentre
Advisory ID     : NCSC-2016-0860
Versie          : 1.00
Kans            : medium
CVE ID          : CVE, CVE-2014-3566, CVE-2015-0204, CVE-2015-4000
                  (http://cve.mitre.org/cve/)
Schade          : high
                  Toegang tot gevoelige gegevens
Uitgiftedatum   : 20160927
Toepassing      : Xerox WorkCentre
Versie(s)       : 
Platform(s)     : 

Samenvatting
   Xerox heeft een aantal oudere OpenSSL kwetsbaarheden verholpen in de
   firmware voor Xerox Workcentre Multifunctionals. Zie "Mogelijke
   oplossingen" voor meer informatie.

Gevolgen
   Een kwaadwillende kan de kwetsbaarheden misbruiken voor het
   verkrijgen van gevoelige informatie.

Beschrijving
   - CVE-2014-3566
   Er is een aanvalstechniek gevonden die POODLE (Padding Oracle On
   Downgraded Legacy Encryption) heet. Door deze aanvalstechniek is SSL
   3.0 in de huidige vorm niet als veilig te beschouwen. Nieuwere
   clients en servers die SSL 3.0 ondersteunen zijn ook kwetsbaar,
   omdat ze vatbaar zijn voor een ‘protocol downgrade attack’. Bij een
   protocol downgrade attack dwingt een aanvaller met toegang tot het
   netwerk tussen client en server het gebruik van een oudere
   protocolversie af.
      
   TLS (Transport Layer Security) kent zes versies: SSL 1.0, SSL 2.0,
   SSL 3.0, TLS 1.0, TLS 1.1 en TLS 1.2. Twee van deze versies zijn al
   langer bekend als onveilig (SSL 1.0 en SSL 2.0). De nieuwste versie,
   TLS 1.2, is de veiligste. Oudere versies worden ondersteund voor
   backwards compatibility. De oudste tot nu toe ‘veilige’ versie was
   SSL 3.0. De belangrijkste reden om deze versie te blijven
   ondersteunen is dat Internet Explorer 6 op Windows XP maximaal SSL
   3.0 ondersteunt.
      
   De POODLE-aanval heeft veel weg van de BEAST-aanval, met dat
   verschil dat het om uiteenlopende redenen lastiger is om deze aanval
   te mitigeren zonder SSL 3.0 uit te schakelen.
      
   Het aanvalsscenario is als volgt. Een client en een server
   communiceren met elkaar op basis van TLS. Ze ondersteunen beide SSL
   3.0, naast eventuele andere TLS-versies.
      
   Een kwaadwillende kan de communicatie aan het begin (de handshake)
   zo manipuleren dat client en server terugvallen op SSL 3.0 (een
   protocol downgrade attack). Vervolgens gebruikt de kwaadwillende een
   padding oracle attack om een geheim deel van de communicatie
   (bijvoorbeeld: een sessioncookie) te achterhalen.
   
   - CVE-2015-0204
   Deze kwetsbaarheid bevindt zich in OpenSSL versies 1.0.1, 1.0.0 en
   0.9.8 en is eerder omschreven in NCSC advisory NCSC-2015-0013.
   
   De OpenSSL client accepteert het gebruik van een tijdelijke RSA key
   binnen een non-export RSA key exchange ciphersuite. Een
   kwaadwillende kan de kwetsbaarheid misbruiken door een downgrade
   attack uit te voeren op een kwetsbare server om daarmee de
   versleutelde verbinding minder veilig te maken.
   
   - CVE-2015-4000
   Indien een kwaadwillende in staat is om de initiële handshake van
   een TLS-verbinding te manipuleren, bijvoorbeeld door een
   Man-in-the-Middle aanval, dan kan de kwaadwillende mogelijk een
   zwakkere ciphersuite (DHE_EXPORT) forceren voor een TLS-verbinding.
   
   De DHE_EXPORT ciphersuite kan bij bepaalde bitlengtes, mits de
   kwaadwillende over genoeg rekenkracht beschikt, gebroken worden
   waardoor de kwaadwillende toegang zou kunnen krijgen tot gevoelige
   informatie.

Mogelijke oplossingen
   -= Xerox =-
   Xerox heeft updates uitgebracht voor haar Xerox Workcentre lijn.
   Meer informatie, een beslistabel om te bepalen welke firmware
   noodzakelijk is en de benodigde links vindt u in onderstaande link:
   
   https://www.xerox.com/download/security/security-bulletin
      /36d63-53d6de6b0b453/cert_XRX16-017_v1.0.pdf

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit 
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de 
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.


-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.3.2 (Build 16620)
Charset: utf-8
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=4h+a
-----END PGP SIGNATURE-----

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig