Update

IBM heeft updates uitgebracht om de kwetsbaarheden met kenmerken CVE-2016-2177 en CVE-2016-2178
te verhelpen in IBM WebSphere MQ Advanced Message Security. Zie "Mogelijke oplossingen" voor meer informatie.

Gevolgen

Een kwaadwillende kan de kwetsbaarheden mogelijk misbruiken om een Denial-of-Service te veroorzaken.

Beschrijving

-CVE-2016-6308
Bij het versturen van DTLS-berichten kan de grootte oplopen tot 16Mb. Door de manier waarop geheugen wordt gealloceerd in OpenSSL is het voor een kwaadwillende mogelijk om berichten van 21Mb te alloceren aan een verbinding. Dit kan leiden tot een Denial-of-Service. De kwetsbaarheid bestaat niet voor TLS-verbindingen.

-CVE-2016-6307
Bij het versturen van TLS-berichten kan de grootte oplopen tot 16Mb. Door de manier waarop geheugen wordt gealloceerd in OpenSSL is het voor een kwaadwillende mogelijk om berichten van 21Mb te alloceren aan een verbinding. Dit kan leiden tot een Denial-of-Service. De kwetsbaarheid bestaat niet voor DTLS-verbindingen.

-CVE-2016-6306
In OpenSSL 1.0.2 en eerder worden sommige berichten niet op lengte gecontroleerd, wat kan leiden tot een out-of-bounds-read-error. Dit kan mogelijk leiden tot een Denial-of-Service. Het gaat bij deze kwetsbaarheid om client-certificate, client-certificate-request en server-certificate berichten. Dit betekent dat alleen clients of servers waarbij client-authentication aanstaat kwetsbaar zijn.

-CVE-2016-6305
OpenSSL 1.1.0 SSL/TLS loopt vast tijdens een call naar de SSL_functie() wanneer een peer een leeg record stuurt. Dit kan worden uitgebuit door een malafide peer om een Denial-of-Service uit te voeren.

-CVE-2016-6304
Een malafide client kan extreem grote OCSP-Status-Request-extensions sturen. Wanneer de client vervolgens telkens om renegotiations blijft verzoeken en daarbij telkens een grote OCSP-Status-Request extension stuurt, blijft de geheugenbuffer oplopen. Dit kan uiteindelijk resulteren in een Denial-of-Service.

-CVE-2016-6303
Er bevindt zich een integer-overflow-kwetsbaarheid in OpenSSL. Een kwaadwillende op afstand kan de kwetsbaarheid mogelijk misbruiken om een Denial-of-Service-aanval uit te voeren.

-CVE-2016-6302
Er bevindt zich een kwetsbaarheid in de tls_decrypt_ticket-functie in OpenSSL. De HMAC-grootte wordt niet meegenomen bij het valideren van de ticket-lengte. Een kwaadwillende op afstand kan de kwetsbaarheid mogelijk misbruiken om een Denial-of-Service-aanval uit te voeren.

-CVE-2016-2183
Naar aanleiding van de SWEET32-aanval (NCSC-2016-0773) zijn enkele oudere op DES gebaseerde ciphersuites verplaatst van de HIGH naar de MEDIUM cipherstring groep in OpenSSL 1.0.1 en 1.0.2. De ciphersuites zijn standaard uitgeschakeld in 1.1.0.

-CVE-2016-2182
Er bevindt zich een out-of-bounds-write-kwetsbaarheid in OpenSSL. Een kwaadwillende op afstand kan de kwetsbaarheid mogelijk misbruiken om een Denial-of-Service-aanval uit te voeren.

-CVE-2016-2181
Er bevindt zich een kwetsbaarheid in OpenSSL. De anti-replay-functie in de DTLS-implementatie gaat niet correct om met specifieke getallenreeksen. Hierdoor kan een ongeauthenticeerde kwaadwillende op afstand mogelijk een Denial-of-Service-aanval uitvoeren middels malafide DTLS-records.

-CVE-2016-2180
De TS_OBJ_print_bio functie in crypto/ts/ts_lib.c in de X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) implementatie in OpenSSL tot en met 1.0.2h kan leiden tot een Denial-of-Service aanval middels een speciaal vervaardigd time-stamp bestand die niet goed wordt verwerkt door het "openssl ts" commando.

-CVE-2016-2179
Er bevindt zich een kwetsbaarheid in OpenSSL. De DTLS-implementatie limiteert de levensduur van queue-entries, geassocieerd aan out-of-order-messages, niet correct. Hierdoor kan een kwaadwillende op afstand een Denial-of-Service-aanval uitvoeren door meerdere malafide DTLS-sessies tegelijkertijd in stand te houden.

-CVE-2016-2178
Er bevindt zich een kwetsbaarheid in het DSA-signing-algoritme waarbij het algoritme niet in constante tijd blijft lopen als de BN_FLG_CONSTTIME-flag is gezet. Een kwaadwillende kan de kwetsbaarheid op afstand mogelijk misbruiken om timing-informatie te verkrijgen van het cryptografische signature-process.

-CVE-2016-2177
OpenSSL tot en met 1.0.2h gebruikt geen goede pointer-arithmetic voor de controle op heap-buffer-boundary-checks. Een kwaadwillende op afstand kan dit mogelijk misbruiken om een Denial-of-Service uit te voeren en mogelijk andere problemen veroorzaken door het gebruik van onverwachte malloc-gedrag.

Mogelijke oplossingen

OpenSSL heeft versie 1.1.0a, 1.0.2i en 1.0.1u uitgebracht om de kwetsbaarheden te verhelpen. Voor meer informatie, zie:
https://www.openssl.org/news/secadv/20160922.txt

Blue Coat

Blue Coat heeft in hun beveiligingsadvies een lijst van getroffen producten gepubliceerd. Voor sommige van deze producten zijn updates en workarounds beschikbaar. Zie voor meer informatie:
https://bto.bluecoat.com/security-advisory/sa132

CentOS

CentOS heeft updates beschikbaar gesteld voor CentOS 6 en 7 om de kwetsbaarheden te verhelpen. U kunt deze updates installeren met behulp van het commando 'yum'. Voor meer informatie en een eventueel handmatige installatie, zie:
CentOS 6:
https://lists.centos.org/pipermail/centos-announce/2016-September/022098.html
CentOS 7:
https://lists.centos.org/pipermail/centos-announce/2016-September/022096.html

Cisco

Cisco heeft in hun beveiligingsadvies een lijst van getroffen producten gepubliceerd. Voor sommige van deze producten zijn updates beschikbaar. Zie voor meer informatie:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160927-openssl

Debian

Debian heeft updates van openssl beschikbaar gesteld voor Debian 8.0 (Jessie) om de kwetsbaarheden te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
https://www.debian.org/security/2016/dsa-3673

F5

F5 heeft updates uitgebracht voor BIG-IP en FirePass om de kwetsbaarheden met CVE-ID CVE-2016-2177, CVE-2016-2178, CVE-2016-2180, CVE-2016-2183 en CVE-2016-6306
te verhelpen. F5 heeft aangegeven dat kwetsbaarheid CVE-2016-2182
ook BIG-IP treft. Hiervoor zijn nog geen updates beschikbaar. Voor meer informatie, zie:
BIG-IP (CVE-2016-2177):
https://support.f5.com/kb/en-us/solutions/public/k/23/sol23873366.html
BIG-IP (CVE-2016-2178):
https://support.f5.com/csp/article/K53084033
BIG-IP (CVE-2016-2180):
https://support.f5.com/kb/en-us/solutions/public/k/02/sol02652550.html
BIG-IP (CVE-2016-2181):
https://support.f5.com/kb/en-us/solutions/public/k/59/sol59298921.html
BIG-IP (CVE-2016-2182)
https://support.f5.com/kb/en-us/solutions/public/k/01/sol01276005.html
BIG-IP en FirePass (CVE-2016-2183):
https://support.f5.com/kb/en-us/solutions/public/k/13/sol13167034.html
BIG-IP en FirePass (CVE-2016-6306):
https://support.f5.com/kb/en-us/solutions/public/k/90/sol90492697.html

Fedora

Fedora heeft updates beschikbaar gesteld voor Fedora 23. U kunt deze updates installeren met behulp van het commando 'dnf' of 'yum'. Meer informatie over deze updates en over een eventueel handmatige installatie vindt u op:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/thread/P4NE2Y22ZEWINQOU446KTTROYLEZAU2H/

FreeBSD

FreeBSD heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen in openssl. U kunt deze updates installeren via freebsd-update. Meer informatie over deze updates vindt u op:
http://www.vuxml.org/freebsd/43eaa656-80bc-11e6-bf52-b499baebfeaf.html

HP

HP heeft updates voor HPE Integrated Lights-Out 4 uitgegeven om de kwetsbaarheid met CVE-ID CVE-2016-2183
te verhelpen. Zie voor meer informatie de volgende locatie:
https://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c05323116

IBM

IBM heeft updates uitgebracht voor Security Access Manager om de kwetsbaarheden te verhelpen. Zie voor meer informatie:
http://www-01.ibm.com/support/docview.wss?uid=swg21996865
IBM heeft updates uitgebracht voor WebSphere MQ om de kwetsbaarheid met het kenmerk CVE-2016-2183
te verhelpen. Zie voor meer informatie:
http://www.ibm.com/support/docview.wss?uid=swg21995099
IBM heeft updates uitgebracht om de kwetsbaarheden met kenmerken CVE-2016-2177 en CVE-2016-2178
te verhelpen in IBM WebSphere MQ Advanced Message Security. Voor meer informatie, zie:
https://www-01.ibm.com/support/docview.wss?uid=swg21999724

OpenSUSE

De ontwikkelaars van OpenSUSE hebben updates beschikbaar gesteld om de kwetsbaarheden te verhelpen in OpenSUSE 13.2 en Leap 42.1. U kunt deze aangepaste packages installeren door gebruik te maken van 'zypper'. U kunt ook gebruik maken van YAST of de updates handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie: 13.2
https://lists.opensuse.org/opensuse-security-announce/2016-09/msg00023.html
Leap 42.1
https://lists.opensuse.org/opensuse-updates/2016-10/msg00053.html

Red Hat

Red Hat heeft updates beschikbaar gesteld voor Red Hat Enterprise Linux 6 en 7. Deze updates verhelpen de kwetsbaarheden met CVE-ID CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-6302, CVE-2016-6304 en CVE-2016-6306. U kunt deze updates installeren met behulp van het commando 'yum'. Meer informatie over deze updates en over een eventueel handmatige installatie vindt u op:
http://rhn.redhat.com/errata/RHSA-2016-1940.html

SUSE

SUSE heeft updates beschikbaar gesteld om de kwetsbaarheden te verhelpen in SUSE 11 en 12. U kunt deze aangepaste packages installeren door gebruik te maken van 'YaST'. U kunt de packages ook handmatig downloaden van de SUSE FTP-server (ftp.suse.com). Voor meer informatie, zie:
SUSE 11:
http://lists.suse.com/pipermail/sle-security-updates/2016-October/002314.html
SUSE 12:
http://lists.suse.com/pipermail/sle-security-updates/2016-September/002288.html

Ubuntu

Ubuntu heeft updates beschikbaar gesteld voor Ubuntu 12.04 LTS, 14.04 LTS en 16.04 LTS om de kwetsbaarheden te verhelpen. U kunt de aangepaste packages installeren door gebruik te maken van 'apt-get update' en 'apt-get upgrade'. Meer informatie kunt u vinden op onderstaande pagina:
http://www.ubuntu.com/usn/usn-3087-1/

Vrijwaringsverklaring

Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding.

Trackback link

Nog geen reacties

Wees de eerste die reageert!

Laat een reactie achter

Je moet ingelogd zijn om te kunnen reageren.