News vom 10.06.2014
Meinberg Security Advisory: [MBGSA-1402] Mehrere OpenSSL Sicherheitslücken
Die vor wenigen Tagen gemeldeten OpenSSL Sicherheitsprobleme sowie der als Heartbleed bezeichnete Fehler in den SSL Bibliotheken wurden für die LANTIME Firmware Versionen V5 und V6 durch Updates geschlossen, in denen die neue OpenSSL Version 0.9.8za verwendet wird.
CVE-IDs:
CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2010-5298, CVE-2014-0224
1. Beschreibung des Problems
Die von Meinberg in ihrer Firmware für LANTIME Netwerk Appliances verwendete OpenSSL Softwarebibliothek hat am 05.06.2014 in einem Security Advisory sieben Sicherheitslücken veröffentlicht von denen eine (CVE-2014-0224) theoretisch das Entschlüsseln des Datenstroms ermöglicht, wenn dieser vom Angreifer einsehbar ist und er die Möglichkeit hat, einen Man-in-the-Middle Angriff zu fahren.
2. Betroffene Systeme
Alle LANTIME Firmware Versionen sind von diesem Bug betroffen.
3. Mögliche Gegenmaßnahmen
Ein Update auf die jeweils letzte Firmware Version wird empfohlen, um die Sicherheitslücken zu schließen.
Bitte fordern Sie ein Firmware Update mithilfe des Formulars auf unserer Website an:
Firmware Updates für LANTIME Produkte inklusive SyncFire
Sie benötigen für die Anforderung die Seriennummer Ihres Meinberg LANTIME Systems.
4. Weitere Quellen
Mehr über dieses Sicherheitsproblem können Sie auf den folgenden Websites erfahren:http://www.openssl.org/news/secadv_20140605.txt OpenSSL Security Advisory 20140605
http://heise.de/-2216707 Heise Artikel über die OpenSSL Sicherheitslücken