Mehrere OpenSSL-Probleme, die OneSpan-Produkte betreffen

Beratungs-ID vasco-sa-20140605-openssl

Revisionsnummer 1.0

Erscheinungsdatum 13. April 2015, 16:30 Uhr UTC + 1

Letztes Update 13. April 2015, 16:30 Uhr UTC + 1

Zusammenfassung

Am 5. Juni 2014 veröffentlichte das OpenSSL-Projekt einen Sicherheitshinweis, in dem sieben Sicherheitslücken in der OpenSSL-Bibliothek beschrieben wurden. Die Sicherheitslücken werden wie folgt bezeichnet:

  • SSL / TLS MITM-Sicherheitsanfälligkeit
  • DTLS-Rekursionsfehler
  • DTLS Ungültige Fragment-Sicherheitsanfälligkeit
  • SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung
  • SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service
  • Anonymer ECDH-Denial-of-Service
  • ECDSA NONCE Side-Channel-Wiederherstellungsangriff

Mehrere OneSpan-Produkte enthalten eine Version der OpenSSL-Bibliothek, die von einer oder mehreren Sicherheitsanfälligkeiten betroffen ist, die es einem nicht authentifizierten Remoteangreifer ermöglichen können, einen Man-in-the-Middle-Angriff auszuführen, SSL / TLS-Sitzungsdaten zu injizieren oder die Verfügbarkeit eines Dienstes zu stören.

Betroffene Produkte

Folgende Produkte sind von der SSL / TLS MITM-Sicherheitsanfälligkeit betroffen:
SSL / TLS-Server

  • IDENTIKEY Server 3.3, 3.4
  • IDENTIKEY Authentication Server 3.4 SR1, 3.5
  • IDENTIKEY Federation Server 1.3, 1.4, 1.5
  • IDENTIKEY (Virtual) Appliance 3.4.5. (0,1)
  • IDENTIKEY (Virtual) Appliance 3.4.6. (0,1,2,3)
  • IDENTIKEY (Virtual) Appliance 3.5.7. (1,2,3,4)
  • aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2

SSL / TLS-Clients

  • LDAP Synchronization Tool 1.1, 1.2
  • Datenmigrationstool 2.0, 2.1, 2.2, 2.3, 2.4
  • DIGIPASS-Authentifizierung für Windows Logon 1.1, 1.2
  • DIGIPASS-Authentifizierung für Citrix Webinterface 3.3, 3.4, 3.5, 3.6
  • DIGIPASS-Authentifizierung für IIS - Basic 3.3, 3.4, 3.5
  • DIGIPASS-Authentifizierung für Outlook Web Access - Basic 3.3, 3.4, 3.5
  • DIGIPASS-Authentifizierung für Outlook Web Access - Formulare 3.3, 3.4, 3.5
  • DIGIPASS-Authentifizierung für Remotedesktop-Webzugriff 3.4, 3.5, 3.6
  • DIGIPASS-Authentifizierung für RADIUS-Server mit Stahlgürtel 3.2, 3.3
  • Personal aXsGUARD 1.1.3, 2.1.0

Folgende Produkte sind von der Sicherheitsanfälligkeit bezüglich der Dereferenzierung von NULL-Zeigern durch SSL_MODE_RELEASE_BUFFERS betroffen:

  • IDENTIKEY Federation Server 1.3, 1.4, 1.5
  • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

Folgende Produkte sind von der SSL_MODE_RELEASE_BUFFERS-Sitzungsinjektion oder der Denial-of-Service-Sicherheitsanfälligkeit betroffen:

  • IDENTIKEY Federation Server 1.3, 1.4, 1.5
  • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

Beschreibung

Am 5. Juni 2014 veröffentlichte das OpenSSL-Projekt einen Sicherheitshinweis, in dem sieben Sicherheitslücken in der OpenSSL-Bibliothek beschrieben wurden.
Die Auswirkungen dieser Sicherheitsanfälligkeit auf OneSpan-Produkte hängen vom betroffenen Produkt ab.

SSL / TLS Man-in-the-Middle

Ein nicht authentifizierter Remoteangreifer mit der Fähigkeit, Datenverkehr zwischen einem betroffenen SSL / TLS-Client und einem SSL / TLS-Server abzufangen, kann einen Man-in-the-Middle-Angriff ausführen. Dieser Sicherheitsanfälligkeit wurde CVE-2014-0224 zugewiesen.

SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung

Ein nicht authentifizierter Angreifer aus der Ferne kann eine böswillige Anforderung senden, die eine NULL-Zeiger-Dereferenzierung auslösen soll. Dies kann zu einer teilweisen oder vollständigen Denial-of-Service-Bedingung auf dem betroffenen Gerät führen. Diese Sicherheitsanfälligkeit wurde CVE-2014-0198 zugewiesen.

SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service

Ein nicht authentifizierter Remoteangreifer kann eine böswillige Anforderung senden, mit der Inhalte in eine parallele SSL / TLS-Sitzung eingefügt oder eine Denial-of-Service-Bedingung erstellt werden soll. Dieser Sicherheitsanfälligkeit wurde CVE-2010-5298 zugewiesen.

Weitere Informationen finden Sie in der OpenSSL Project-Sicherheitshinweise: http://www.openssl.org/news/secadv_20140605.txt

Severity Score

Die folgenden Tabellen geben den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.

SSl / TLS Man-in-the-Middle

CVSS Temporal Score: 3.6

CVSS Base Score: 4.3
Greifen Sie auf Vecto zu r Zugriffskomplexität

Authentifizierung

Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Mittel Keiner Keiner Teilweise Keiner
Ausnutzbarkeit Sanierungsstufe Vertrauen melden
Funktionell Offizieller Fix Bestätigt

 

SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung

CVSS Base Score: 7.1

Greifen Sie auf Vector zu

Zugriffskomplexität

Authentifizierung

Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Mittel Keiner Keiner Keiner Komplett
CVSS Temporal Score: 7.8
Ausnutzbarkeit Sanierungsstufe Vertrauen melden
Funktionell Offizieller Fix Bestätigt

 

SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service

CVSS Base Score: 7.8

Greifen Sie auf Vector zu Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
Netzwerk Mittel Keiner Keiner Teilweise Komplett
CVSS Temporal Score: 6.4
Ausnutzbarkeit Sanierungsstufe Vertrauen melden
Funktionell Offizieller Fix Bestätigt

 

Produktkorrekturen

OneSpan hat Patches für folgende Produkte veröffentlicht:

  • IDENTIKEY Federation Server 1.3.2, 1.4.2, 1.5.1 am 13. Juni 2014

OneSpan wird folgende Patches veröffentlichen:

  • IDENTIKEY Authentication Server 3.5.4 am 23. Juni 2014
  • IDENTIKEY (Virtual) Appliance 3.5.7.5 am 23. Juni 2014
  • aXsGUARD Gatekeeper 7.7.3, dessen Veröffentlichungsdatum später bekannt gegeben wird

Kunden, die IDENTIKEY Server 3.3 oder 3.4 verwenden, und Kunden, die IDENTIKEY Authentication Server 3.4 SR1 verwenden, wird empfohlen, ein Upgrade auf IDENTIKEY Authentication Server 3.5 durchzuführen und den entsprechenden Fix für diese Version anzuwenden.
Kunden, die aXsGUARD Gatekeeper verwenden, wird empfohlen, ein Upgrade auf aXsGUARD Gatekeeper 7.7.3 durchzuführen.
Kunden, die ein clientseitiges Produkt verwenden, das von der Sicherheitsanfälligkeit SSL / TLS Man-in-the-Middle betroffen ist, wird empfohlen, das entsprechende serverseitige Produkt zu aktualisieren. Durch diesen Ansatz werden Auswirkungen vermieden, da sowohl ein anfälliges clientseitiges als auch ein serverseitiges Produkt erforderlich sind, um die Sicherheitsanfälligkeit auszunutzen.

Ort

Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.

Referenz

http://www.openssl.org/news/secadv_20140605.txt

Haftungsausschluss

WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden. 

Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.

🖨 Mehrere OpenSSL-Probleme, die OneSpan-Produkte betreffen