Beratungs-ID vasco-sa-20140605-openssl
Revisionsnummer 1.0
Erscheinungsdatum 13. April 2015, 16:30 Uhr UTC + 1
Letztes Update 13. April 2015, 16:30 Uhr UTC + 1
Zusammenfassung
Am 5. Juni 2014 veröffentlichte das OpenSSL-Projekt einen Sicherheitshinweis, in dem sieben Sicherheitslücken in der OpenSSL-Bibliothek beschrieben wurden. Die Sicherheitslücken werden wie folgt bezeichnet:
- SSL / TLS MITM-Sicherheitsanfälligkeit
- DTLS-Rekursionsfehler
- DTLS Ungültige Fragment-Sicherheitsanfälligkeit
- SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung
- SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service
- Anonymer ECDH-Denial-of-Service
- ECDSA NONCE Side-Channel-Wiederherstellungsangriff
Mehrere OneSpan-Produkte enthalten eine Version der OpenSSL-Bibliothek, die von einer oder mehreren Sicherheitsanfälligkeiten betroffen ist, die es einem nicht authentifizierten Remoteangreifer ermöglichen können, einen Man-in-the-Middle-Angriff auszuführen, SSL / TLS-Sitzungsdaten zu injizieren oder die Verfügbarkeit eines Dienstes zu stören.
Betroffene Produkte
Folgende Produkte sind von der SSL / TLS MITM-Sicherheitsanfälligkeit betroffen:
SSL / TLS-Server
- IDENTIKEY Server 3.3, 3.4
- IDENTIKEY Authentication Server 3.4 SR1, 3.5
- IDENTIKEY Federation Server 1.3, 1.4, 1.5
- IDENTIKEY (Virtual) Appliance 3.4.5. (0,1)
- IDENTIKEY (Virtual) Appliance 3.4.6. (0,1,2,3)
- IDENTIKEY (Virtual) Appliance 3.5.7. (1,2,3,4)
- aXsGUARD Gatekeeper 7.0.0 PL19, 7.1.0 PL6, 7.6.5, 7.7.0, 7.7.1, 7.7.2
SSL / TLS-Clients
- LDAP Synchronization Tool 1.1, 1.2
- Datenmigrationstool 2.0, 2.1, 2.2, 2.3, 2.4
- DIGIPASS-Authentifizierung für Windows Logon 1.1, 1.2
- DIGIPASS-Authentifizierung für Citrix Webinterface 3.3, 3.4, 3.5, 3.6
- DIGIPASS-Authentifizierung für IIS - Basic 3.3, 3.4, 3.5
- DIGIPASS-Authentifizierung für Outlook Web Access - Basic 3.3, 3.4, 3.5
- DIGIPASS-Authentifizierung für Outlook Web Access - Formulare 3.3, 3.4, 3.5
- DIGIPASS-Authentifizierung für Remotedesktop-Webzugriff 3.4, 3.5, 3.6
- DIGIPASS-Authentifizierung für RADIUS-Server mit Stahlgürtel 3.2, 3.3
- Personal aXsGUARD 1.1.3, 2.1.0
Folgende Produkte sind von der Sicherheitsanfälligkeit bezüglich der Dereferenzierung von NULL-Zeigern durch SSL_MODE_RELEASE_BUFFERS betroffen:
- IDENTIKEY Federation Server 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Folgende Produkte sind von der SSL_MODE_RELEASE_BUFFERS-Sitzungsinjektion oder der Denial-of-Service-Sicherheitsanfälligkeit betroffen:
- IDENTIKEY Federation Server 1.3, 1.4, 1.5
- aXsGUARD Gatekeeper 7.7.0, 7.7.1, 7.7.2
Beschreibung
Am 5. Juni 2014 veröffentlichte das OpenSSL-Projekt einen Sicherheitshinweis, in dem sieben Sicherheitslücken in der OpenSSL-Bibliothek beschrieben wurden.
Die Auswirkungen dieser Sicherheitsanfälligkeit auf OneSpan-Produkte hängen vom betroffenen Produkt ab.
SSL / TLS Man-in-the-Middle
Ein nicht authentifizierter Remoteangreifer mit der Fähigkeit, Datenverkehr zwischen einem betroffenen SSL / TLS-Client und einem SSL / TLS-Server abzufangen, kann einen Man-in-the-Middle-Angriff ausführen. Dieser Sicherheitsanfälligkeit wurde CVE-2014-0224 zugewiesen.
SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung
Ein nicht authentifizierter Angreifer aus der Ferne kann eine böswillige Anforderung senden, die eine NULL-Zeiger-Dereferenzierung auslösen soll. Dies kann zu einer teilweisen oder vollständigen Denial-of-Service-Bedingung auf dem betroffenen Gerät führen. Diese Sicherheitsanfälligkeit wurde CVE-2014-0198 zugewiesen.
SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service
Ein nicht authentifizierter Remoteangreifer kann eine böswillige Anforderung senden, mit der Inhalte in eine parallele SSL / TLS-Sitzung eingefügt oder eine Denial-of-Service-Bedingung erstellt werden soll. Dieser Sicherheitsanfälligkeit wurde CVE-2010-5298 zugewiesen.
Weitere Informationen finden Sie in der OpenSSL Project-Sicherheitshinweise: http://www.openssl.org/news/secadv_20140605.txt
Severity Score
Die folgenden Tabellen geben den CVSS 2.0-Schwachstellenwert der verschiedenen Schwachstellen an.
SSl / TLS Man-in-the-Middle
CVSS Temporal Score: 3.6
CVSS Base Score: 4.3 | |||||
Greifen Sie auf Vecto zu r | Zugriffskomplexität |
Authentifizierung |
Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
Netzwerk | Mittel | Keiner | Keiner | Teilweise | Keiner |
Ausnutzbarkeit | Sanierungsstufe | Vertrauen melden | |||
Funktionell | Offizieller Fix | Bestätigt |
SSL_MODE_RELEASE_BUFFERS NULL-Zeiger-Dereferenzierung
CVSS Base Score: 7.1 | |||||
Greifen Sie auf Vector zu |
Zugriffskomplexität |
Authentifizierung |
Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
Netzwerk | Mittel | Keiner | Keiner | Keiner | Komplett |
CVSS Temporal Score: 7.8 | |||||
Ausnutzbarkeit | Sanierungsstufe | Vertrauen melden | |||
Funktionell | Offizieller Fix | Bestätigt |
SSL_MODE_RELEASE_BUFFERS Sitzungsinjektion oder Denial-of-Service
CVSS Base Score: 7.8 |
|||||
Greifen Sie auf Vector zu | Zugriffskomplexität | Authentifizierung | Vertraulichkeitswirkung | Auswirkungen auf die Integrität | Auswirkungen auf die Verfügbarkeit |
Netzwerk | Mittel | Keiner | Keiner | Teilweise | Komplett |
CVSS Temporal Score: 6.4 | |||||
Ausnutzbarkeit | Sanierungsstufe | Vertrauen melden | |||
Funktionell | Offizieller Fix | Bestätigt |
Produktkorrekturen
OneSpan hat Patches für folgende Produkte veröffentlicht:
- IDENTIKEY Federation Server 1.3.2, 1.4.2, 1.5.1 am 13. Juni 2014
OneSpan wird folgende Patches veröffentlichen:
- IDENTIKEY Authentication Server 3.5.4 am 23. Juni 2014
- IDENTIKEY (Virtual) Appliance 3.5.7.5 am 23. Juni 2014
- aXsGUARD Gatekeeper 7.7.3, dessen Veröffentlichungsdatum später bekannt gegeben wird
Kunden, die IDENTIKEY Server 3.3 oder 3.4 verwenden, und Kunden, die IDENTIKEY Authentication Server 3.4 SR1 verwenden, wird empfohlen, ein Upgrade auf IDENTIKEY Authentication Server 3.5 durchzuführen und den entsprechenden Fix für diese Version anzuwenden.
Kunden, die aXsGUARD Gatekeeper verwenden, wird empfohlen, ein Upgrade auf aXsGUARD Gatekeeper 7.7.3 durchzuführen.
Kunden, die ein clientseitiges Produkt verwenden, das von der Sicherheitsanfälligkeit SSL / TLS Man-in-the-Middle betroffen ist, wird empfohlen, das entsprechende serverseitige Produkt zu aktualisieren. Durch diesen Ansatz werden Auswirkungen vermieden, da sowohl ein anfälliges clientseitiges als auch ein serverseitiges Produkt erforderlich sind, um die Sicherheitsanfälligkeit auszunutzen.
Ort
Kunden mit einem Wartungsvertrag können feste Produktfreigaben von MyMaintenance erhalten.
Referenz
http://www.openssl.org/news/secadv_20140605.txt
Haftungsausschluss
WÄHREND JEDER ANGEMESSENE AUFWAND GEMACHT WIRD, UM GENAUE INFORMATIONEN ZU VERARBEITEN UND ZUR VERFÜGUNG ZU STELLEN, WERDEN ALLE INHALTE UND INFORMATIONEN IN DIESEM DOKUMENT "WIE BESEHEN" UND "WIE VERFÜGBAR" UND OHNE AUSDRÜCKLICHE ODER STILLSCHWEIGENDE GARANTIE VON CUR VOLLSTÄNDIGKEIT ODER EIGNUNG ODER JEGLICHE GEWÄHRLEISTUNG, EINSCHLIESSLICH DER GEWÄHRLEISTUNG DER MARKTGÄNGIGKEIT ODER EIGNUNG FÜR EINEN BESTIMMTEN GEBRAUCH ODER ZWECK. DIE NUTZUNG DIESES DOKUMENTS, DER ZUR VERFÜGUNG GESTELLTEN INFORMATIONEN ODER DER MIT DIESEM DOKUMENT VERBUNDENEN MATERIALIEN ERFOLGT AUF EIGENES RISIKO. VASCO behält sich das Recht vor, die Informationen in diesem Dokument jederzeit und nach eigenem Ermessen zu ändern oder zu aktualisieren, sofern neue oder zusätzliche Informationen verfügbar werden.
Copyright © 2014 VASCO Datensicherheit, Inc., VASCO Datensicherheit International GmbH. Alle Rechte vorbehalten.