Meinberg Security Advisory: [MBGSA-1402] Mehrere OpenSSL Sicherheitslücken

Die vor wenigen Tagen gemeldeten OpenSSL Sicherheitsprobleme sowie der als Heartbleed bezeichnete Fehler in den SSL Bibliotheken wurden für die LANTIME Firmware Versionen V5 und V6 durch Updates geschlossen, in denen die neue OpenSSL Version 0.9.8za verwendet wird.

CVE-IDs:

CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2010-5298, CVE-2014-0224

1. Beschreibung des Problems

Die von Meinberg in ihrer Firmware für LANTIME Netwerk Appliances verwendete OpenSSL Softwarebibliothek hat am 05.06.2014 in einem Security Advisory sieben Sicherheitslücken veröffentlicht von denen eine (CVE-2014-0224) theoretisch das Entschlüsseln des Datenstroms ermöglicht, wenn dieser vom Angreifer einsehbar ist und er die Möglichkeit hat, einen Man-in-the-Middle Angriff zu fahren.

2. Betroffene Systeme

Alle LANTIME Firmware Versionen sind von diesem Bug betroffen.

3. Mögliche Gegenmaßnahmen

Ein Update auf die jeweils letzte Firmware Version wird empfohlen, um die Sicherheitslücken zu schließen.

Bitte fordern Sie ein Firmware Update mithilfe des Formulars auf unserer Website an:
Firmware Updates für LANTIME Produkte inklusive SyncFire

Sie benötigen für die Anforderung die Seriennummer Ihres Meinberg LANTIME Systems.

4. Weitere Quellen

Mehr über dieses Sicherheitsproblem können Sie auf den folgenden Websites erfahren:

http://www.openssl.org/news/secadv_20140605.txt OpenSSL Security Advisory 20140605

http://heise.de/-2216707 Heise Artikel über die OpenSSL Sicherheitslücken