Meinberg Security Advisory [MBGSA-1803]: OpenSSH und OpenSSL für LANTIME OS

Es wurden mehrere Sicherheitsschwachstellen in OpenSSH 7.4p1 sowie OpenSSL 1.0.2p erkannt und behoben. Die LANTIME Firmware Versionen ab 6.24.016 enthalten daher die neueste OpenSSH und OpenSSL Version, um die Sicherheitsprobleme zu beheben.

CVE-IDs:

• OpenSSH:
  CVE-2018-15473 (CVSSv3 Score: 5.3)
  CVE-2017-15906 (CVSSv3 Score: 5.3)
• OpenSSL:
  CVE-2018-5407 (CVSSv3 Score: Awaiting Analysis)
  CVE-2018-0734 (CVSSv3 Score: Awaiting Analysis)
• Aktualisierte Versionen:
  OpenSSL: 1.0.2q
  OpenSSH: 7.9p1

1 Beschreibung der Probleme

Die Sicherheitsschwachstellen werden auf den jeweiligen Herstellerseiten und in der NIST National Vulnerability Database (NVD) detailliert beschrieben. Die Links zu den Beschreibungen finden Sie unter 4 Weitere Informationen. Die Schwere der gefundenen Schwachstellen in OpenSSL wird derzeit von der NIST untersucht. Die Entwickler der OpenSSL-Software bemessen diese Schwachstellen mit einem geringen Schweregrad.

2 Betroffene Systeme

Alle LANTIME Firmware Versionen vor 6.24.016 sind von den jeweiligen genannten Schwachstellen betroffen. Die LANTIME Firmware wird von allen Geräten der Meinberg LANTIME M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie (SF1000 / SF1100) verwendet. Ob und in welchem Maß einzelne Kunden bzw. LANTIME Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

3 Mögliche Verteidigungsstrategien

Die Sicherheitspatches für OpenSSH und OpenSSL sind in der LANTIME Firmware Version >= 6.24.016 enthalten.

Alle Aktualisierungen sind für Meinberg Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME V5 und V6 Versionen zu aktualisieren. Bitte kontaktieren Sie Ihren Meinberg Support, wenn Sie dafür Unterstützung benötigen oder Fragen haben.

4 Weitere Informationen

Weitere Details und Informationen finden Sie auf den jeweiligen Webseiten:

• OpenSSH:
  
  • https://nvd.nist.gov/vuln/detail/CVE-2018-15473
  • https://nvd.nist.gov/vuln/detail/CVE-2017-15906
  • https://www.openssh.com/releasenotes.html
• OpenSSL:
  
  • https://nvd.nist.gov/vuln/detail/CVE-2018-5407
  • https://nvd.nist.gov/vuln/detail/CVE-2018-0734
  • https://www.openssl.org/news/vulnerabilities.html

Zögern Sie bitte nicht, Ihren Meinberg Support zu kontaktieren, wenn Sie weitere Fragen haben oder Unterstützung benötigen.