Sikkerhetsoppdateringer for OpenSSL

Publisert: 05.05.2016 | Sist endret: 11.01.2017

OpenSSL Software Foundation har publisert en sikkerhetsoppdatering for seks sårbarheter i OpenSSL. To av sårbarhetene er klassifisert med høy viktighet, ingen er klassifisert som kritiske.

Minnekorrupsjon ved lesing av sertifikater (CVE-2016-2108)

Sårbarheten tillater en angriper å skape minnekorrupsjon ved å få OpenSSL til å lese spesielt utformede sertifikater. Dette kan potensielt utnyttes til å kjøre vilkårlig kode.

Denne feilen ble rettet i April 2015, med var ikke på dette tidspunktet klassifisert som en utnyttbar sårbarhet. Dette vil si at visse distribusjoner av OpenSSL som kun inkluderer sikkerhetsfikser ikke har inkludert denne oppdateringen.

Utnyttelse av sårbarheten krever sertifikater utsted av forhåndsgodkjente sertifiseringsinstanser.

 «Padding oracle»-sårbarhet i AES-CBC (CVE-2016-2107)

Ved et Man-In-The-Middle-angrep kan en angriper benytte denne sårbarheten til å dekryptere AES-CBC-kryptert trafikk.

Anbefalinger

NSM NorCERT anbefaler at man tester og installerer leverandørdistribuerte oppgraderinger når disse blir tilgjengelig.

Påvirkede versjoner

Kun CVE-2016-2108:

  • OpenSSL 1.0.2b og eldre
  • OpenSSL 1.0.1n og eldre

Resten:

  • OpenSSL 1.0.2g og eldre.
  • OpenSSL 1.0.1s og eldre.
  1. https://www.openssl.org/news/secadv/20160503.txt

CVE referanser:

CVE-2013-0169, CVE-2016-2105, CVE-2016-2106, CVE-2016-2107,
CVE-2016-2108, CVE-2016-2109, CVE-2016-2176