TOP
SSV Software Systems Registrieren  Registrieren
Einloggen, um private Nachrichten zu lesen  Einloggen, um private Nachrichten zu lesen
Startseite FAQ Suchen Mitglieder Profil  Login 
SSV Support-Forum
CVE-2022-0778 BN_mod_sqrt im IGW/922

 
Neues Thema eröffnen   Neue Antwort erstellen    SSV-Forum Foren-Übersicht >>> IGW/922
<<< Vorheriges Thema - Nächstes Thema >>>  
Beiträge der letzten Zeit anzeigen:   
Autor Nachricht
hne



Anmeldedatum: 11.07.2008
Beiträge: 197
Wohnort: Hannover

BeitragVerfasst am: 21.03.2022, 16:16    Titel: CVE-2022-0778 BN_mod_sqrt im IGW/922 Antworten mit Zitat

Das Standard Industrial Gateway IGW/922, IGW/922-U und IGW/922-G sind von der Schwachstelle CVE-2022-0778 in der Funktion BN_mod_sqrt() betroffen.

Wie in der Beschreibung erwähnt wird, könnte ein Angreifer mit einem entsprechend präparierten Client-Zertifikat den Prozess im Gerät in eine Endlosschleife versetzen. Betroffen davon sind alle Dienste, die ein Zertifikat vom Client annehmen, z.B. HTTPS-WebServer, MQTT-Server usw. Es ist theoretisch auch möglich, einen SSL-Client darüber anzugreifen, indem ein Man-in-the-Middle so ein präpariertes Server-Zertifikat einschleust.

Folgende Versionen für die Bibliothek openssl stehten bei SSV für das IGW/922 zur Verfügung.

  • OpenSSL 0.9.8zg 18 Mar 2022
  • OpenSSL 1.0.2u 18 Mar 2022
  • OpenSSL 1.1.1n 15 Mar 2022

Bitte das Release-Datum beachten.

Um zu prüfen, ob die openssl Bibliothek aktualisiert wurde, ruft man "openssl version -a" an der Console auf. Dort sollte das Jahr 2022 erscheinen, z.B.:
Code:
$ openssl version -a
OpenSSL 0.9.8zg 18 Mar 2022
built on: Mon Mar 21 08:11:48 CET 2022

Einige Server- und Client-Prozesse, wie openvpn zeigen die Version des openssl im Syslog.
Beim statisch eincompilierten openssl im openvpn kann die Version durch Aufruf von "openvpn --version abgefragt werden:
Code:
$ openvpn --version
OpenVPN 2.4.9-ssv4 arm-ssv1-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [AEAD] built on Mar 21 2022
library versions: OpenSSL 1.1.1n  15 Mar 2022, LZO 1.08


Ein vollständiges Firmware-Update version 1.66 build 8880 und ein Update nur für openssl stehen zur Verfügung. Ist openvpn mit der Version 2.3.8 in Benutzung, steht auch dafür ein separates kleines Update zur Verfügung, da dort openssl statisch eingelinkt wurde. Den Zugang zum Download-Bereich erfragen Sie bitte über unseren Vertrieb.

Weitere Hinweise:
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://www.openssl.org/news/secadv/20220315.txt
_________________
Henry Nestler
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    SSV-Forum Foren-Übersicht >>> IGW/922 Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Sie können keine Beiträge in dieses Forum schreiben.
Sie können auf Beiträge in diesem Forum nicht antworten.
Sie können Ihre Beiträge in diesem Forum nicht bearbeiten.
Sie können Ihre Beiträge in diesem Forum nicht löschen.
Sie können an Umfragen in diesem Forum nicht teilnehmen.

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Fon: +49(0)511 / 40 000-0
Fax: +49(0)511 / 40 000-40

sales@ssv-embedded.de


Impressum    ·    Datenschutz    ·    AGB

© 2021 SSV Software Systems GmbH. Alle Rechte vorbehalten.

ISO 9001:2015