Logo-Export

    Mehrere OpenSSL-Probleme, die OneSpan-Produkte betreffen

    Beratungs-ID vasco-sa-20140605-openssl

    Revisionsnummer 1.0

    Erscheinungsdatum 13. April 2015, 16:30 Uhr UTC + 1

    Letztes Update 13. April 2015, 16:30 Uhr UTC + 1

    Zusammenfassung

    Am 5. Juni 2014 veröffentlichte das OpenSSL-Projekt einen Sicherheitshinweis, in dem sieben Sicherheitslücken in der OpenSSL-Bibliothek beschrieben wurden. Die Sicherheitslücken werden wie folgt bezeichnet:

    • SSL / TLS MITM-Sicherheitsanfälligkeit
    • DTLS-Rekursionsfehler
    • DTLS Ungültige Fragment-Sicherheitsanfälligkeit
    • SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung
    • SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service
    • Anonymer ECDH-Denial-of-Service
    • ECDSA NONCE Side-Channel-Wiederherstellungsangriff

    Mehrere OneSpan-Produkte enthalten eine Version der OpenSSL-Bibliothek, die von einer oder mehreren Sicherheitsanfälligkeiten betroffen ist, die es einem nicht authentifizierten Remoteangreifer ermöglichen können, einen Man-in-the-Middle-Angriff auszuführen, SSL / TLS-Sitzungsdaten zu injizieren oder die Verfügbarkeit eines Dienstes zu stören.

    Betroffene Produkte

    Folgende Produkte sind von der SSL / TLS MITM-Sicherheitsanfälligkeit betroffen:
    SSL / TLS-Server

    • IDENTIKEY Server 3.3, 3.4
    • IDENTIKEY Authentication Server 3.4 SR1, 3.5
    • IDENTIKEY Federation Server 1.3, 1.4, 1.5
    • IDENTIKEY (Virtual) Appliance 3.4.5. (0,1)
    • IDENTIKEY (Virtual) Appliance 3.4.6. (0,1,2,3)
    • IDENTIKEY (Virtual) Appliance 3.5.7. (1,2,3,4)
    • aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2

    SSL / TLS-Clients

    • LDAP Synchronization Tool 1.1, 1.2
    • Datenmigrationstool 2.0, 2.1, 2.2, 2.3, 2.4
    • DIGIPASS-Authentifizierung für Windows Logon 1.1, 1.2
    • DIGIPASS-Authentifizierung für Citrix Webinterface 3.3, 3.4, 3.5, 3.6
    • DIGIPASS-Authentifizierung für IIS - Basic 3.3, 3.4, 3.5
    • DIGIPASS-Authentifizierung für Outlook Web Access - Basic 3.3, 3.4, 3.5
    • DIGIPASS-Authentifizierung für Outlook Web Access - Formulare 3.3, 3.4, 3.5
    • DIGIPASS-Authentifizierung für Remotedesktop-Webzugriff 3.4, 3.5, 3.6
    • DIGIPASS-Authentifizierung für RADIUS-Server mit Stahlgürtel 3.2, 3.3
    • Personal aXsGUARD 1.1.3, 2.1.0

    Folgende Produkte sind von der Sicherheitsanfälligkeit bezüglich der Dereferenzierung von NULL-Zeigern durch SSL_MODE_RELEASE_BUFFERS betroffen:

    • IDENTIKEY Federation Server 1.3, 1.4, 1.5
    • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

    Folgende Produkte sind von der SSL_MODE_RELEASE_BUFFERS-Sitzungsinjektion oder der Denial-of-Service-Sicherheitsanfälligkeit betroffen:

    • IDENTIKEY Federation Server 1.3, 1.4, 1.5
    • aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2

    Beschreibung

    Am 5. Juni 2014 veröffentlichte das OpenSSL-Projekt einen Sicherheitshinweis, in dem sieben Sicherheitslücken in der OpenSSL-Bibliothek beschrieben wurden.
    Die Auswirkungen dieser Sicherheitsanfälligkeit auf OneSpan-Produkte hängen vom betroffenen Produkt ab.

    SSL / TLS Man-in-the-Middle

    Ein nicht authentifizierter Remoteangreifer mit der Fähigkeit, Datenverkehr zwischen einem betroffenen SSL / TLS-Client und einem SSL / TLS-Server abzufangen, kann einen Man-in-the-Middle-Angriff ausführen. Dieser Sicherheitsanfälligkeit wurde CVE-2014-0224 zugewiesen.

    SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung

    Ein nicht authentifizierter Angreifer aus der Ferne kann eine böswillige Anforderung senden, die eine NULL-Zeiger-Dereferenzierung auslösen soll. Dies kann zu einer teilweisen oder vollständigen Denial-of-Service-Bedingung auf dem betroffenen Gerät führen. Diese Sicherheitsanfälligkeit wurde CVE-2014-0198 zugewiesen.

    SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service

    Ein nicht authentifizierter Remoteangreifer kann eine böswillige Anforderung senden, mit der Inhalte in eine parallele SSL / TLS-Sitzung eingefügt oder eine Denial-of-Service-Bedingung erstellt werden soll. Dieser Sicherheitsanfälligkeit wurde CVE-2010-5298 zugewiesen.

    Weitere Informationen finden Sie in der OpenSSL Project-Sicherheitshinweise: http://www.openssl.org/news/secadv_20140605.txt

    Severity Score

    Die folgenden Tabellen geben den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.

    SSl / TLS Man-in-the-Middle

    CVSS Temporal Score: 3.6

    CVSS Base Score: 4.3
    Greifen Sie auf Vecto zu r Zugriffskomplexität

    Authentifizierung

    		 Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
    Netzwerk Mittel Keiner Keiner Teilweise Keiner
    Ausnutzbarkeit Sanierungsstufe Vertrauen melden
    Funktionell Offizieller Fix Bestätigt

     

    SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung

    CVSS Base Score: 7.1

    Greifen Sie auf Vector zu

    Zugriffskomplexität

    Authentifizierung

    		 Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
    Netzwerk Mittel Keiner Keiner Keiner Komplett
    CVSS Temporal Score: 7.8
    Ausnutzbarkeit Sanierungsstufe Vertrauen melden
    Funktionell Offizieller Fix Bestätigt

     

    SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service

    CVSS Base Score: 7.8
    Greifen Sie auf Vector zu Zugriffskomplexität Authentifizierung Vertraulichkeitswirkung Auswirkungen auf die Integrität Auswirkungen auf die Verfügbarkeit
    Netzwerk Mittel Keiner Keiner Teilweise Komplett
    CVSS Temporal Score: 6.4
    Ausnutzbarkeit Sanierungsstufe Vertrauen melden
    Funktionell Offizieller Fix Bestätigt

     

    Produktkorrekturen

    OneSpan hat Patches für folgende Produkte veröffentlicht:

    • IDENTIKEY Federation Server 1.3.2, 1.4.2, 1.5.1 am 13. Juni 2014

    OneSpan wird folgende Patches veröffentlichen:

    • IDENTIKEY Authentication Server 3.5.4 am 23. Juni 2014
    • IDENTIKEY (Virtual) Appliance 3.5.7.5 am 23. Juni 2014
    • aXsGUARD Gatekeeper 7.7.3, dessen Veröffentlichungsdatum später bekannt gegeben wird

    Kunden, die IDENTIKEY Server 3.3 oder 3.4 verwenden, und Kunden, die IDENTIKEY Authentication Server 3.4 SR1 verwenden, wird empfohlen, ein Upgrade auf IDENTIKEY Authentication Server 3.5 durchzuführen und den entsprechenden Fix für diese Version anzuwenden.
    Kunden, die aXsGUARD Gatekeeper verwenden, wird empfohlen, ein Upgrade auf aXsGUARD Gatekeeper 7.7.3 durchzuführen.
    Kunden, die ein clientseitiges Produkt verwenden, das von der Sicherheitsanfälligkeit SSL / TLS Man-in-the-Middle betroffen ist, wird empfohlen, das entsprechende serverseitige Produkt zu aktualisieren. Durch diesen Ansatz werden Auswirkungen vermieden, da sowohl ein anfälliges clientseitiges als auch ein serverseitiges Produkt erforderlich sind, um die Sicherheitsanfälligkeit auszunutzen.

    Ort

    Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.

    Referenz

    http://www.openssl.org/news/secadv_20140605.txt

    Haftungsausschluss

    WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden. 

    Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.

    🖨 Mehrere OpenSSL-Probleme, die OneSpan-Produkte betreffen