direkt zum Inhalt springen

direkt zum Hauptnavigationsmenü

Sie sind hier

TU Berlin

Inhalt des Dokuments

Um diesen RSS Feed zu abonnieren, müssen Sie die Adresse des folgenden Links in Ihrer RSS Feed Steuerung übernehmen. RSS abonnieren

DFN-CERT: Informationen über Schwachstellen
Neueste Schwachstellen
Eine Schwachstelle in OpenSSL ermöglicht einem entfernten, nicht authentisierten Angreifer aufgrund der möglichen Verwendung des unsicheren Kryptoalgorithmus 'Triple-DES' in TLS-Verbindungen den Sicherheitsmechanismus der Verschlüsselung aufzubrechen und infolgedessen sensible Informationen auszuspähen.

OpenSSL veröffentlicht zur Mitigation der Schwachstelle die Versionen 1.0.1u und 1.0.2i, in denen die Einstufung der Verschlüsselungsgüte für die verwundbaren DES-Algorithmen von 'HIGH' auf 'MEDIUM' herabgesetzt wurde, um deren Verwendung und dadurch die Ausnutzbarkeit der Schwachstelle einzuschränken. Zusätzlich werden mit der neuen OpenSSL Version 1.1.0 der 'Triple-DES'-Algorithmus standardmäßig deaktiviert und weitere Verbesserungen zur Anhebung des Sicherheitsniveaus umgesetzt, indem beispielsweise eine Reihe als unsicher anzusehender Algorithmen entfernt wurden.
Eine Schwachstelle im Linux-Kernel ermöglicht einem lokalen, einfach authentisierten Angreifer beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über ein System vollständig zu übernehmen. Weitere Schwachstellen ermöglichen auch einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.

SUSE stellt für SUSE Linux Enterprise Server 12 LTSS den Linux Kernel Live Patch 27 for SLE 12 als Sicherheitsupdate für den Linux-Kernel 3.12.61-52_92 zur Verfügung.
Eine Schwachstelle im Linux-Kernel ermöglicht einem nicht authentisierten Angreifer, der sich in einer Reichweite befindet, um eine Bluetooth-Übertragung aufbauen zu können, die Durchführung eines Denial-of-Service (DoS)-Angriffs und zumindest auf Systemen ohne 'Stack Protection' auch die Ausführung beliebigen Programmcodes mit Root-Privilegien, wodurch ein System letztlich vollständig kompromittiert werden kann. Eine weitere Schwachstelle ermöglicht einem lokalen, einfach authentisierten Angreifer ebenfalls einen Denial-of-Service-Angriff.

SUSE stellt für SUSE Linux Enterprise Server 12 LTSS verschiedene Linux Kernel Live Patches als Sicherheitsupdates zur Verfügung.
Mehrere Schwachstellen in verschiedenen Subkomponenten von Oracle Java SE ermöglichen einem entfernten, nicht authentisierten Angreifer die komplette Systemübernahme, die Manipulation von Dateien, das Ausspähen von Informationen und verschiedene Denial-of-Service (DoS)-Angriffe. Eine weitere Schwachstelle ermöglicht auch einem entfernten, einfach authentisierten Angreifer die komplette Kompromittierung eines Systems.

Red Hat stellt für die Red Hat Enterprise Linux 6 und 7 Supplementary Produktvarianten Server, Desktop, Workstation und Linux for Scientific Computing Sicherheitsupdates für IBM Java SE 8 auf Version 8 SR4-FP10 zur Verfügung.
Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der Verarbeitungskomponente für DNS-Pakete ausnutzen, um eine Endlosschleife auszulösen und den Server so in einen Denial-of-Service (DoS)-Zustand zu versetzen.

Für Fedora 27 und Fedora EPEL 7 steht YADIFA in der Version 2.2.6 als Sicherheitsupdate im Status 'testing' bereit.
Die veröffentlichten Schwachstellen ermöglichen es, den Sitzungsschlüssel und weitere verwendete kryptografische Parameter erneut zu verwenden und damit letztendlich zu brechen. In mit WPA oder WPA2 gesicherten Funknetzwerken wird dadurch die Vertraulichkeit und ggf. Integrität der Daten gefährdet. Der PreSharedKey (PSK) eines Netzwerks wird durch die Protokollschwachstellen nicht direkt kommpromittiert.

Die Ursache der Schwachstellen sind Designfehler des zugrunde liegenden IEEE-Standards 802.11 (genauer: Anhang 802.11i) und betreffen daher auf die eine oder andere Art alle derzeit aktiven WLAN-fähigen Endgeräte.

Ein nicht authentisierter Angreifer in Reichweite des Funknetzwerks kann mehrere Schwachstellen im WPA- und WPA2-Protokoll ausnutzen, um Datenpakete aufzuzeichnen und erneut einzuspielen, wodurch letztlich ein bereits bekannter Schlüssel (Encryption Key) neu installiert wird. In Folge dessen können Datenpakete entschlüsselt und vertrauliche Informationen ausgespäht werden. Dies betrifft insbesondere die Übertragung sensibler Daten (wie bspw. Kreditkartendaten, Passwörter, Chat Nachrichten, Emails). Unter TKIP und GCMP können TCP-Verbindungen nicht nur abgefangen, sondern vollständig kompromittiert werden. Dadurch könnten unter Umständen auch beliebige Inhalte injiziert werden.

Die genauen Auswirkungen des Angriffs sind vom verwendeten Data-Confidentiality and Integrity-Protokoll (TKIP, CCMP oder GCMP) abhängig, die Entschlüsselung von Datenpaketen ist allerdings in jedem Fall möglich.

Die Entdecker der Schwachstellen beschreiben, dass die Auswirkungen insbesondere für die WLAN-Anwendung 'wpa_supplicant' auf Linux-Systemen und für Google Android 'katastrophal' sind, da der angesprochene Schlüssel hier nicht neu installiert, sondern durch einen Schlüssel ersetzt wird, der ausschließlich Nullen enthält (All-Zero Encryption Key). Aufgrund der Eigenschaften des Angriffs wurde dieser auf den Namen KRACK (Key Reinstallation AttaCK) getauft.

Für 'wpa_supplicant' wurden die entsprechenden Sicherheitsupdates (Patches) bereits Anfang Oktober 2017 ohne Hinweis auf die Schwachstellen veröffentlicht.

Debian stellt bereits Sicherheitsupdates in Form des Pakets 'wpa' für die alte stabile Distribution (Jessie) in Version '2.3-1+deb8u5', für die stabile Distribution (Stretch) in Version '2:2.4-1+deb9u1' und für die zu testende Distribution (Buster) in Version '2:2.4-1.1' zur Verfügung.

Für Fedora 25, 26 und 27 stehen die Pakete 'wpa_supplicant-2.6-3.fc25.1', 'wpa_supplicant-2.6-11.fc26' und 'wpa_supplicant-2.6-11.fc27' im Status 'pending' als Sicherheitsupdate bereit.

Es ist davon auszugehen, dass auch andere Hersteller bereits reagiert haben oder zeitnah reagieren werden. Weitere Informationen liegen allerdings noch nicht vor. Falls Sie nicht sicher sind, ob bestimmte Hersteller eines Geräts mit WLAN-Schnittstelle bereits auf die Veröffentlichung der Schwachstellen reagiert haben, verwenden Sie zur Datenübertragung kabelgebundene Verbindungen oder mobile Datennetze. Unabhängig von WPA2 ist Vertraulichkeit der Kommunikation zusätzlich durch die Verwendung von TLS oder einer VPN-Verschlüsselung abzusichern. Die Group-Key Problematik bei Windows und Apple kann zudem durch die Abschaltung bzw. Filterung von Multicast-Netzwerkverkehr mitigiert werden.

Insbesondere clientseitig bereitstehende Sicherheitsupdates sollten umgehend eingespielt werden.

Für den Fall, dass Systeme nur eingeschränkt selbst administriert werden können (bspw. im industriellen Produktionsumfeld), wird Betroffenen dazu geraten, auf den Anlagenbauer oder Hersteller der Wi-Fi-Komponente zuzugehen.
Mehrere Schwachstellen in Apache Software Foundation HTTP-Server ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen, verschiedene Denial-of-Service (DoS)-Angriffe und das Umgehen von Sicherheitsvorkehrungen.

Für SUSE Linux Enterprise Server 12 LTSS steht ein Sicherheitsupdate zur Behebung dieser Schwachstellen zur Verfügung.
Ein lokaler, authentisierter Angreifer kann eine Schwachstelle in der Cisco NX-OS Software für Cisco Nexus Series Switches ausnutzen, um aus dem Python-Parser auszubrechen und unautorisierten Zugriff auf das unterliegenden Betriebssystem des Gerätes zu erlangen, d.h. seine Privilegien zu eskalieren.

Cisco bestätigt die Schwachstelle für folgende Produkte, wenn darauf Cisco NX-OS Software verwendet wird: Multilayer Director Switches, Nexus 2000 Series Fabric Extenders, Nexus 3000, 3500, 5000, 5500, 5600, 6000, 7000, 7700 Series Switches sowie Nexus 9000 Series Switches - Standalone, NX-OS mode und Nexus 9500 R-Series Line Cards and Fabric Modules. Bezüglich verwundbarer und fehlerbereinigter Versionen der jeweiligen NX-OS Software verweist Cisco auf eine Reihe von Cisco Bug IDs.
Zwei Schwachstellen im tough-cookie-Modul von Node.js ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung verschiedener Denial-of-Service (DoS)-Angriffe.

Red Hat stellt für die Red Hat Software Collections1 für RHEL 6 und 7 (Workstation und Server) sowie für RHEL 6.7 und 7.3 (Server) Sicherheitsupdates für Node.js 4 und 6 in Form der Pakete 'rh-nodejs6-nodejs-tough-cookie' und 'rh-nodejs4-nodejs-tough-cookie' bereit.
Eine Schwachstelle in der Cisco Firepower Extensible Operating System (FXOS) und NX-OS System Software ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs gegen Geräte mit verwundbaren Versionen der Software.

Cisco bestätigt die Schwachstelle für folgende Cisco Produkte, falls auf diesen Cisco FXOS oder NX-OS System Software verwendet wird und 'Authentication, Authorization and Accounting' (AAA)-Dienste konfiguriert sind: Firepower 4100 Series Next-Generation Firewall, Firepower 9300 Security Appliance, Multilayer Director Switches, Nexus 1000V Series Switches, Nexus 1100 Series Cloud Services Platforms, Nexus 2000, 3000, 3500, 5000, 5500, 5600, 6000, 7000 und 7700 Series Switches, Nexus 9000 Series Switches in NX-OS mode, Nexus 9500 R-Series Line Cards and Fabric Modules sowie Cisco Unified Computing System (UCS) 6100, 6200 und 6300 Series Fabric Interconnects.

Ferner stellt Cisco für jedes der Produkte Informationen zu betroffenen, ersten fehlerbereinigten Versionen und Hinweise wie festgestellt werden kann, welche Version auf einem Gerät installiert ist, zur Verfügung. Cisco Firepower Extensible Operating System (FXOS) 2.3.1 wird als zukünftiges Sicherheitsupdate angekündigt.
Zwei Schwachstellen in GitLab ermöglichen einem entfernten, einfach authentisierten Angreifer die Durchführung von Cross-Site-Scripting-Angriffen. Eine weitere Schwachstelle ermöglicht dem Angreifer möglicherweise den Zugriff auf Repositories anderer Benutzer. Zwei zusätzliche Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausspähen von Informationen und die Darstellung falscher Informationen.

Der Hersteller stellt GitLab 9.4.7, 9.5.9 und 10.0.4 als Sicherheitsupdates für die Community Edition und die Enterprise Edition zur Verfügung. Die Community Edition ist von der Schwachstelle mit dem internen Bezeichner #3435 (Ausspähen von Informationen) nicht betroffen.

Die mit GitLab ausgelieferte Version von Ruby wird auf Version 2.3.5 aktualisiert, um eine weitere Schwachstelle zu beheben (Referenz anbei). Zusätzlich werden mit diesem Update mehrere nicht genauer spezifizierte Schwachstellen in LibXML2 durch die aktuelle Version 2.9.6 behoben.
Ein entfernter, einfach authentisierter Angreifer kann eine Schwachstelle in der Cisco Expressway Series Software und TelePresence Video Communication Server (VCS) Software ausnutzen, um einen Denial-of-Service (DoS)-Angriff durchzuführen.

Cisco bestätigt die Schwachstelle und gibt unter der referenzierten Cisco Bug ID CSCve77571 den Status mit 'Fixed' an, spezifiziert darin aber keine verwundbaren Versionen. Für das aktuelle Cisco TelePresence Video Communication Server und Expressway Series Release X8.10.2 wird das Release Date 25-SEP-2017 genannt.
Ein lokaler, einfach authentisierter Angreifer kann eine Schwachstelle in Jabber bzw. Cisco Jabber für Windows Clients ausnutzen, um vertrauliche Profilinformationen von Benutzern auszuspähen, während ihm eigentlich nur bestimmte Parameter von Jabber zugänglich sein sollten.

Cisco bestätigt die Schwachstellen für Cisco Jabber vor Release 1.9.31 bzw. für Cisco Jabber for Windows 11.8(4) und benennt hier die Version 11.8(4.52954) unter 'Known Fixed Releases' (siehe referenzierte Cisco Bug ID CSCve14401).
Zwei Schwachstellen in der Cisco IOS XE Software ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung eines Cross-Site-Scripting-Angriffs und einem lokalen, einfach authentisierten Angreifer das Ausspähen von Informationen.

Cisco bestätigt die Schwachstellen und stellt Sicherheitsupdates zur Verfügung. Die Cross-Site-Scripting-Schwachstelle betrifft laut der zugehörigen Cisco Bug ID die Versionen 16.1.2, 16.2.0 und 16.3(1) und wird durch die Versionen Everest-16.4.1, Denali-16.3.2, 16.4.1 und 16.3.2 behoben. Für die zweite Schwachstelle werden derzeit keine Informationen zu den verwundbaren oder korrigierten Versionen öffentlich bereitgestellt.
Eine Schwachstelle in der Cisco Network Analysis Module Software ermöglicht einem entfernten, nicht authentisierten Angreifer die Manipulation von Dateien und darüber auch das Bewirken eines Denial-of-Service-Zustandes.

Cisco bestätigt die Schwachstelle und benennt in der zugehörigen Bug ID die Version 6.2(1b) als betroffen und erklärt, dass Sicherheitsupdates zur Verfügung stehen.
Zwei Schwachstellen im Cisco WebEx Meetings Server und eine Schwachstelle im Cisco WebEx Meeting Center ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Cross-Site-Scripting (XSS)-Angriffen und einen Denial-of-Service (DoS)-Angriff (Server).

Cisco bestätigt die Schwachstellen in den jeweils referenzierten Cisco Bug IDs für Cisco WebEx Meetings Server 2.7 (CVE-2017-12293, CVE-2017-12296), 2.6 und 2.8 (CVE-2017-12296) sowie für Cisco WebEx Meeting Center T32, Oct-GA, Others und Post-Oct (CVE-2017-12298) und führt unter 'Known Fixed Releases' für CVE-2017-12293 die Cisco WebEx Meetings Server Version 2.8.1.1034 und für CVE-2017-12296 die Cisco WebEx Meetings Server Versionen 2.7.1.3047, 2.8.1.1019 und 2.8.1.1023 auf.
Zwei Schwachstellen in Suricata ermöglichen einem entfernten, nicht authentisierten Angreifer die Durchführung von Denial-of-Service-Angriffen durch speziell präparierten Datenverkehr.

Der Hersteller informiert über die Schwachstellen und stellt die Versionen 3.2.4 (Oldstable) und 4.0.1 (Stable) als Sicherheitsupdates zur Verfügung. Suricata 3.2 wird nur noch bis zum 18.12.2017 weiterentwickelt (End-of-Life), der Hersteller empfiehlt daher den baldigen Umstieg auf den Versionszweig 4.x.

Für Fedora 25 und 26 sowie Fedora EPEL 7 steht Suricata 3.2.4 als Sicherheitsupdate im Status 'pending' bereit.
Eine Schwachstelle in Lucene vor Versionen 6.6.2 und 7.1.0 ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der Folge das Ausspähen sensitiver Daten. In diesem Kontext kann der Angreifer direkten Zugriff auf einen Solr-Server (ebenfalls vor Versionen 6.6.2 und 7.1.0) erhalten und auf diesem beliebigen Programmcode ausführen.

Der Hersteller informiert über die Schwachstelle und stellt die genannten Versionen als Sicherheitsupdates bereit.

Für Fedora 25, 26 und 27 stehen Backport-Sicherheitsupdates für Lucene im Status 'testing' zur Verfügung.
Mehrere Schwachstellen in verschiedenen Komponenten der Oracle E-Business Suite ermöglichen einem entfernten, zumeist nicht authentisierten Angreifer die Manipulation und das Ausspähen von kritischen Daten sowie Daten, auf die die jeweiligen Komponenten Zugriff haben. Nur eine der Schwachstellen erfordert für eine erfolgreiche Ausnutzung eine Authentisierung. Die Schwachstellen betreffen jeweils unterschiedliche Versionen der E-Business Suite.

Oracle stellt Sicherheitsupdates für Oracle E-Business Suite zur Behebung der Schwachstellen bereit.
Mehrere Schwachstellen in verschiedenen Komponenten der Oracle PeopleSoft Products ermöglichen auch einem entfernten, nicht authentifizierten Angreifer das Ausspähen und Manipulieren von Daten. Mehrere Schwachstellen erlauben einem entfernten, nicht authentifizierten Angreifer zusätzlich das Bewirken eines partiellen Denial-of-Service (DoS)-Zustandes und die schwerwiegendste Schwachstelle (CVE-2017-10366) ermöglicht dem Angreifer die Übernahme der Komponente 'Performance Monitor' von PeopleSoft Enterprise PT PeopleTools.

Für die Oracle PeopleSoft Products stehen Sicherheitsupdates zur Behebung der Schwachstellen in PeopleSoft Enterprise (PT) PeopleTools, PeopleSoft Enterprise PRTL Interaction Hub, PeopleSoft Enterprise FSCM, PeopleSoft Enterprise HCM und PeopleSoft Enterprise SCM eProcurement bereit.
Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Cacti ausnutzen, um einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Für Fedora 25, 26, 27 sowie Fedora EPEL 6 und 7 stehen die Pakete 'cacti-1.1.26-1.fc25', 'cacti-1.1.26-1.fc26', 'cacti-1.1.26-1.fc27', 'cacti-1.1.19-2.el6' und 'cacti-1.1.26-1.el7' als Sicherheitsupdates bereit. Für Fedora EPEL 6 ist der Status bereits als 'testing' angegeben, für die anderen noch 'pending'.
Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in UPX 3.94 mit Hilfe einer speziell präparierten komprimierten Datei für einen Denial-of-Service (DoS)-Angriff und möglicherweise weitere Angriffe ausnutzen.

Für Fedora 25, 26 und 27 wird UPX auf Version 3.94 aktualisiert. Gleichzeitig wird als Sicherheitsupdate ein Patch zur Behebung der Schwachstelle eingespielt. Die Sicherheitsupdates stehen im Status 'testing' bereit.
Ein vermutlich entfernter, einfach authentisierter Angreifer kann die Schwachstelle ausnutzen, um beliebige Befehle in einen Git-Server zu injizieren.

Zur Behebung der Schwachstelle stehen die Git Versionen 2.10.5, 2.11.4, 2.12.5 und 2.13.6 bereit.

Für Fedora 25, 26 und 27 stehen die Pakete 'git-2.9.5-2.fc25', 'git-2.13.6-1.fc26' und 'git-2.14.2-2.fc27' als Sicherheitsupdates bereit. Die Pakete für Fedora 25 und 26 stehen im Status 'testing' zur Verfügung, das Sicherheitsupdate für Fedora 27 befindet sich derzeit noch im Status 'pending'.
Eine Schwachstelle in nginx ermöglicht einem entfernten, nicht authentisierten Angreifer mit Hilfe einer speziell präparierten Anfrage Informationen aus den Kopfdaten zwischengespeicherter Dateien auszuspähen, wenn nginx mit Standard-Modulen verwendet wird, oder Informationen aus dem Speicher von 'Worker'-Prozessen auszuspähen oder einen Denial-of-Service (DoS)-Angriff durchzuführen, wenn Drittanbieter-Module verwendet werden. Verwundbare Drittanbieter-Module sind derzeit nicht bekannt.

Debian stellt für die vormals stabile Distributionen Jessie sowie die stabile Distribution Stretch Backport-Sicherheitsupdates bereit.

Zusatzinformationen / Extras

Direktzugang

Schnellnavigation zur Seite über Nummerneingabe