Meinberg Security Advisory: [MBGSA-2021.01] Meinberg-LANTIME-Firmware V7.00.014 und V6.24.027

Die LANTIME-Firmware-Versionen 7.00.014 und 6.24.027 beinhalten ab sofort die OpenSSL Version 1.1.1i, um die im Advisory genannte OpenSSL-Schwachstelle zu beheben.

Es wird empfohlen eine Aktualisierung auf die Version 7.00.014 durchzuführen.

Einschätzung des Bedrohungsgrades

• LANTIME-Firmware V7.00.013:
  Bedrohungsgrad hoch (1), mittel (0), gering (0), keine Angabe (0)
• LANTIME-Firmware V6.24.026:
  Bedrohungsgrad hoch (1), mittel (0), gering (0), keine Angabe (0)

Aktualisierte Version:

• LANTIME-Firmware: V7.00.014
• LANTIME-Firmware: V6.24.027

1. Beschreibung der Sicherheitsschwachstellen

   • Software von Drittherstellern:
     • OpenSSL-1.1.1i:
       CVE-2020-1971 - EDIPARTYNAME NULL pointer de-reference (hoch)
       OpenSSL-1.1.1h security advisory: https://www.openssl.org/news/vulnerabilities.html
       Bereinigt ab:
       V7.00.014 MBGID-3945 und V6.24.027 MBGID-9256
       
       

2. Betroffene Systeme

   Alle LANTIME-Firmware-Versionen vor V7.00.014 (bzw. V6.24.027) sind von der Schwachstelle betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M200, M300, M400, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M3000, M3000S, M4000) und der SyncFire-Produktfamilie verwendet.

   Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

3. Mögliche Sicherheitsmaßnahmen

   Das Sicherheitsupdate von OpenSSL ist in den LANTIME-Firmware-Versionen V7.00.014 und V6.24.027 enthalten. Eine Aktualisierung auf diese Versionen behebt die gelistete Sicherheitsschwachstelle.

   Download der neusten LANTIME-Firmware unter:

   • Meinberg-LANTIME-Firmware

   Alle Aktualisierungen sind für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf die letzte Version V7.00.014 zu aktualisieren. Kunden die keine Möglichkeit haben, die Firmware V7.00.014 zu installieren, können auf die V6.24.027 zurückgreifen.

4. Weitere Informationen

   Weitere Details und Informationen finden Sie auf den folgenden Webseiten:

   • LANTIME-Firmware-Release: V7.00.014
   • LANTIME-Firmware-Release: V6.24.027

   Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.

5. Danksagung

   Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hinweisen.

   Vielen Dank!