DFN-CERT Portal

Schwachstellen

DFN-CERT-2014-0420: Schwachstelle in OpenSSL TLS/DTLS Heartbeat ermöglicht das Ausspähen von Informationen

Historie

Version 1 (2014-04-08 12:11)
Neues Advisory
Version 2 (2014-04-08 14:00)
Für die Distributionen openSUSE 12.3 und 13.1 stehen nun auch Sicherheitspatches zur Verfügung.
Version 3 (2014-04-09 09:35)
Für das Produkt Red Hat Enterprise Virtualization 3 steht nun auch ein Sicherheitspatch zur Verfügung.
Version 4 (2014-04-10 13:00)
FreeBSD, Fedora, Cisco, Juniper, NetBSD, F5 und das Tor-Projekt stellen Updates oder Informationen zum Umgang mit der Schwachstelle zur Verfügung.
Version 5 (2014-04-10 17:43)
FreeRADIUS stellt Patches für die aktuell unterstützten Versionen zur Verfügung.
Version 6 (2014-04-11 12:24)
VMWare stellt Updates für verschiedene Produkte bereit.
Redhat stellt eine überarbeitete Version des Hypervisors für Red Hat Enterprise Virtualization 3 zur Verfügung.
Version 7 (2014-04-14 17:27)
 IBM meldet, dass u.a. AIX 6.1 TL9 und AIX 7.1 TL3 betroffen sind und stellt nun OpenSSL ohne Heartbeat-Erweiterung bereit.
Version 8 (2014-04-15 17:44)
Sicherheitsupdates stehen für OpenBSD 5.3, 5.4 und 5.5 bereit. Für Fedora 19 und 20 wurde OpenSSL für mingw von der Schwachstelle befreit.
Version 9 (2014-04-22 17:39)
Es sind neue Informationen von Fedora, IBM, Red Hat, Oracle, HP, Blackberry und openSUSE verfügbar.
Version 10 (2014-04-30 11:59)
Es sind Informationen zu Citrix Produkten verfügbar.
Version 11 (2014-05-06 14:33)
Sophos hat Sicherheitsupdates zur Verfügung gestellt, welche die OpenSSL-Schwachstelle adressieren, unter anderem für Sophos Unified Threat Management (UTM) 9.1.
Version 12 (2014-05-28 13:44)
openSUSE stellt jetzt aktualisierte Pakete von Tor für die Distributionen openSUSE 12.3 und 13.1 zur Verfügung

Betroffene Software

OpenSSL Project OpenSSL >= 1.0.1
OpenSSL Project OpenSSL <= 1.0.1F
OpenSSL Project OpenSSL <= 1.0.2 Beta1

Betroffene Plattformen

CISCO Anyconnect Secure Mobility Client
Cisco Unified Communications Manager 10.0
Citrix Web Interface
XenClient Enterprise >= 4.1.0
XenClient Enterprise <= 4.1.4
XenClient Enterprise >= 4.5.1
XenClient Enterprise <= 4.5.5
XenClient Enterprise >= 5.0.0
XenClient Enterprise <= 5.0.6
XenClient Enterprise <= 5.1.1
XenClient XT 3.1.4
XenClient XT 3.2.0
XenClient XT 3.2.1
Big-IP Access Policy Manager (APM) >= 11.5.0
Big-IP Access Policy Manager (APM) <= 11.5.1
BIG-IP Advanced Firewall Manager (AFM) >= 11.5.0
BIG-IP Advanced Firewall Manager (AFM) <= 11.5.1
F5 BIG-IP Application Security Manager (ASM) >= 11.5.0
F5 BIG-IP Application Security Manager (ASM) <= 11.5.1
BIG-IP Global Traffic Manager (GTM) >= 11.5.0
BIG-IP Global Traffic Manager (GTM) <= 11.5.1
F5 Networks BIGIP Local Traffic Manager (LTM) >= 11.5.0
F5 Networks BIGIP Local Traffic Manager (LTM) <= 11.5.1
BIG-IP Policy Enforcement Manager (PEM) >= 11.5.0
BIG-IP Policy Enforcement Manager (PEM) <= 11.5.1
Freeradius <= 2.2.3
Freeradius <= 3.0.1
Unified Access Control (UAC) 4.4r1
Unified Access Control (UAC) 5.0r1
Juniper Network Connect
Juniper Network Connect >= 7.4R5
Juniper Network Connect <= 7.4R9.1
Juniper Network Connect >= 8.0R1
Juniper Network Connect <= 8.0R3.1
Odyssey Client >= 5.6r5
Pulse >= 4.0r5
Pulse >= 4.2R1
Pulse >= 5.0r1
Unified Access Control >= 4.4r1
Unified Access Control >= 5.0r1
Oracle MySQL Connector/ODBC 5.1.13
Oracle MySQL Connector/ODBC 5.2.5
Oracle MySQL Connector/ODBC 5.2.6
Oracle MySQL Connector/ODBC 5.3.2
Oracle MySQL Connector/C >= 6.1.0
Oracle MySQL Connector/C <= 6.1.3
Oracle MySQL Enterprise Backup 3.10.0
Oracle MySQL Enterprise Monitor 2.3.13
Oracle MySQL Enterprise Monitor 2.3.14
Oracle MySQL Enterprise Monitor 2.3.15
Oracle MySQL Enterprise Monitor 3.0
Oracle MySQL Enterprise Server >= 5.6.11
Oracle MySQL Enterprise Server <= 5.6.17
Oracle MySQL Workbench 6.1.4
Redhat Enterprise Virtualization 3
Redhat Enterprise Virtualization 3.3
Sophos UTM Software 9.1
Sophos UTM Software 9.2
Tor Browser <= 3.5.3
VMware Fusion 6.0.x
VMware Horizon Mirage 4.4.0
VMware Horizon View Client 2.1.x
VMware Horizon View Client 2.2.x
VMware Horizon View Client 2.3.x
VMware Horizon View Feature Pack 1 5.3
VMware Horizon View Feature Pack 2 5.2
VMware Horizon Workspace 1.0
VMware Horizon Workspace 1.5
VMware Horizon Workspace 1.8
VMware Horizon Workspace Client 1.5.1
VMware Horizon Workspace Client 1.5.2
VMware NSX-MH 4.x
VMware NSX-V 6.0.x
VMWare NVP 3.x
VMWare OVF Tool 3.5.0
VMware vCloud Automation Center (vCAC) 5.1.x
VMware vCloud Automation Center (vCAC) 5.2.x
VMWare vCenter Converter 5.5.x
VMware vCenter Server 5.5
VMware vCenter Server 5.5 Update 1
VMware vCloud Networking and Security (vCNS) 5.1.3
VMware vCloud Networking and Security (vCNS) 5.5.1
vFabric Web Server >= 5.0.x
vFabric Web Server <= 5.3.x
VMware Workstation <= 10.0.1
Cisco TelePresence Video Communication Server
Oracle Big Data Appliance
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 12.10
Canonical Ubuntu Linux 13.10
Cisco IOS XE
Debian Linux 7.4 Wheezy
Debian Linux 8.0 Jessie
FreeBSD 8
FreeBSD 8.3
FreeBSD 8.4
FreeBSD 9
FreeBSD 9.1
FreeBSD 9.2
FreeBSD 10
FreeBSD 10.0
IBM AIX 6.1
IBM AIX 7.1
IBM VIOS 2.2.3.1
Juniper IVE OS >= 7.4r1
Juniper IVE OS >= 8.0r1
Juniper JUNOS >= 13.3
NetBSD >= 6.0
NetBSD <= 6.0.4
NetBSD >= 6.1
NetBSD <= 6.1.3
openSUSE 12.3
openSUSE 13.1
OpenBSD 5.3
OpenBSD 5.4
OpenBSD 5.5
Oracle Solaris 11.2
Oracle Linux 6.4
Red Hat Enterprise Linux 6 Server
Red Hat Enterprise Linux Desktop 6
Red Hat Enterprise Linux Workstation 6
Red Hat Fedora 19
Red Hat Fedora 20
VMware ESXi 5.5

Lösung

Patch

Ubuntu Security Notice USN-2165-1

Patch

Debian Security Advisory DSA-2896-1

Patch

Red Hat Security Advisory RHSA-2014-0378

Patch

Redhat Security Advisory RHSA-2014:0376-1

Patch

Tor Hersteller-Advisory

Patch

openSUSE Security Update openSUSE-SU-2014:0492-1

Patch

Cisco Security Advisory cisco-sa-20140409-heartbleed

Patch

Fedora Update FEDORA-2014-4879

Patch

Fedora Update FEDORA-2014-4910

Patch

FreeBSD Hersteller-Advisory

Patch

Juniper Hersteller-Advisory

Patch

F5 Security Advisory

Patch

NetBSD Security Advisory

Patch

Security Advisory FreeRADIUS

Patch

Red Hat Security Advisory RHSA-2014-0396

Patch

VMWare Security Advisory

Patch

IBM Product Security Incident Response Blog OpenSSL Heartbleed (CVE-2014-0160)

Patch

Fedora Update FEDORA-2014-4982

Patch

Fedora Update FEDORA-2014-4999

Patch

OpenBSD 5.3 Security Advisory 014

Patch

OpenBSD 5.4 Security Advisory 007

Patch

OpenBSD 5.5 Security Advisory 002

Patch

VMware Security Advisory VMSA-2014-0004

Patch

Fedora Update FEDORA-2014-5321

Patch

Fedora Update FEDORA-2014-5337

Patch

HP Security Bulletin HPSBMU02995

Patch

Oracle Security Advisory OpenSSL Security Bug

Patch

Oracle Security Alert CVE-2014-0160

Patch

Red Hat Security Advisory RHSA-2014-0416

Patch

openSUSE Security Update openSUSE-SU-2014:0560-1

Patch

Citrix Security Advisory CTX140605

Patch

openSUSE Security Update: openSUSE-SU-2014:0719-1

Beschreibung

Eine Schwachstelle in der TLS/DTLS Erweiterung Heartbeat ermöglicht es einem entfernten, nicht angemeldeten Angreifer bis zu 64KB Speicherinhalt aus dem Hauptspeicher auszulesen und dadurch Zugriff auf sensitive Daten wie private Schlüssel zu erhalten. Sollte der Angreifer vergangene Kommunikation aufgezeichnet haben, besteht die Gefahr, dass diese nun auch entschlüsselt werden kann.

Hinweis: Diese Schwachstelle wurde erst in OpenSSL 1.0.1 eingeführt. Ältere Versionen sind nicht betroffen.

Update 1: FreeBSD behebt diese Schwachstellen für alle unterstützten Version, d.h. für stable/10, releng/10.0, stable/9, releng/9.1, releng/9.2, stable/8, releng/8.3 und releng/8.4.

Das Tor Projekt stellt den Tor Browser 3.5.4 als fehlerbereinigte Version zur Verfügung.

Fedora stellt Updates für Fedora 19 und 20 bereit.

Cisco hat bisher "Cisco IOS XE", "Cisco Unified Communication Manager (UCM) 10.0", "AnyConnect Secure Mobility Client for iOS" und "TelePresence Video Communication Server" als verwundbar erkannt. Cisco wird Patches für diese Produkte bereitstellen. Die Liste der betroffenen Produkte wird kontinuierlich unter dem aufgeführten Link aktualisiert.

Juniper hat mehrere Produkte als betroffen gekennzeichnet und arbeitet noch an Sicherheitsupdates.

NetBSD 6.x ist von der Schwachstelle betroffen, während die 5.x Versionen nicht verwundbar sind, Informationen zum Update werden über das Avisory von NetBSD zur Verfügung gestellt.

F5 stellt für eine Reihe von BIG-IP Produkten Informationen zur Verwundbarkeit und zum Umgang mit der Schwachstelle zur Verfügung.

Das Ubuntu Update behebt noch eine weitere Schwachstelle, als die hier referenzierte und wurde bereits veröffentlicht, ist hier aber zur Vollständigkeit noch einmal hinzugefügt worden.

Update 2: FreeRADIUS stellt Patches für die aktuell unterstützten Versionen zur Verfügung.

Update 3: VMWare stellt Updates für verschiedene Produkte bereit.

Redhat stellt eine überarbeitete Version des Hypervisors für Red Hat Enterprise Virtualization 3 zur Verfügung.

Update 4: IBM meldet, dass u.a. AIX 6.1 TL9 und AIX 7.1 TL3 betroffen sind und stellt nun OpenSSL ohne Heartbeat-Erweiterung bereit.

Update 5: Sicherheitsupdates stehen für OpenBSD 5.3, 5.4 und 5.5 bereit. Für Fedora 19 und 20 wurde OpenSSL für mingw von der Schwachstelle befreit.

Update 6: Fedora stellt Updates für stunnel für Fedora 19 und 20 bereit. IBM stellt neue Sicherheitspatches für AIX 6.1 TL9 und AIX 7.1 TL3 mit offiziellem Bugifx bereit und hat die Heartbeat-Funktionalität wieder aktiviert. Red Hat stellt ein neues Paket von rhevm-spice-client für Enterprise Virtualization 3.3 zur Verfügung, das einen betroffenen mingw-virt-viewer enthielt. Auch Oracle, Hewlett Packard und Blackberry stellen Advisories für eine ganze Reihe von Produkten bereit. OpenSUSE stellt für die Distributionen 12.3 und 13.1 nun Version 1.0.1g von OpenSSL bereit.

Update 7: Citrix hat analysiert, welche Versionen verschiedener Citrix-Produkte von der Hearbleed-Schwachstelle betroffen sind. Für Citrix XenClient XT sind dieses die Versionen 3.1.4, 3.2.0 und 3.2.1, für Citrix XenClient Enterprise sind dieses die Versionen 4.1.0, 4.1.1, 4.1.2, 4.1.3 und 4.1.4 ; 4.5.1, 4.5.2, 4.5.3, 4.5.4 und 4.5.5 ; 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.0.4 und 5.0.6 sowie 5.1.0 und 5.1.1. Über die Verfügbarkeit von Patches informiert Citrix zeitnah unter der angegebenen Referenz. Citrix Web Interface verwendet die TLS-Funktionalität des darunterliegenden Webservers. Citrix empfiehlt diesen auf die Verwundbarkeit zu überprüfen. Web Interface kann auch eine "built-in" TLS-Bibliothek für ausgehende TLS-Verbindungen nutzen; diese ist nicht verwundbar für CVE-2014-0160.

Update 8: Sophos hat Sicherheitsupdates zur Verfügung gestellt, welche die OpenSSL-Schwachstelle adressieren, unter anderem für Sophos Unified Threat Management (UTM) 9.1.

Update 9: openSUSE stellt jetzt aktualisierte Pakete von Tor für die Distributionen openSUSE 12.3 und 13.1 zur Verfügung.

Schwachstellen

CVE-2014-0160: Schwachstelle in OpenSSL TLS/DTLS Heartbeat

Eine Schwachstelle in der OpenSSL TLS/DTLS Heartbeat Erweiterung führt dazu, dass Speichergrenzen nicht beachtetet werden, wodurch bis zu 64K Hauptspeicher auslesbar sind. Dies gilt sowohl für Server wie auch für Clients.

Diese Schwachstelle wurde erst in OpenSSL 1.0.1 eingeführt. Ältere Versionen sind nicht betroffen.

Referenzen

© DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf des schriftlichen Einverständnisses des Rechteinhabers.