IBM aktualisiert sein AIX-System mit abgesicherter OpenSSL-Version
Entwickler von IBM haben in einer Komponente des Serverbetriebssystems AIX zwei Sicherheitslücken geschlossen.
Unter bestimmten Voraussetzungen könnten Angreifer verschlüsselte TLS-Verbindungen auf IBM-Servern mit dem AIX-System aufbrechen. Nun hat IBM aktualisierte Versionen veröffentlicht.
Seit Dezember 2020 ist bekannt, dass die Krpytographie-Software zum verschlüsselten Datenaustausch via TLS OpenSSL verwundbar ist. In der Version 1.1.1i haben die OpenSSL-Entwickler eine mit dem Bedrohungsgrad "hoch" eingestufte Sicherheitslücke (CVE-2020-1971) geschlossen.
Zwei Lücken
Angreifer könnten die fehlerhafte Funktion GENERAL_NAME_cmp
zum Vergleichen von X509-Namen benutzen, um die Software via DoS-Attacke abstürzen zu lassen. Aus einer Warnmeldung von IBM geht hervor, dass in der reparierten und in AIX implementierten OpenSSL-Ausgabe noch eine Schwachstelle (CVE-2020-1968) geschlossen wurde.
Setzen entfernte Angreifer erfolgreich an der Lücke an, könnten sie mittels einer Timing-Attacke namens Racoon Attack TLS-Verbindungen aufbrechen und übertragene Daten mitlesen. Das klingt fatal, ist aber nur mit dem Bedrohungsgrad "niedrig" eingestuft. Diese Timing-Attacke ist nicht ohne Weiteres und nur mit viel Aufwand auszuführen.
In der Warnmeldung listet IBM die abgesicherten AIX-Versionen auf. Dort findet man auch Hinweise zur Installation.
(des)