TOP
SSV Software Systems Register  Register
Log in to check your private messages  Log in to check your private messages
Startseite FAQ Search Mitglieder Profile  Log in 
SSV Support-Forum
CVE-2022-0778 BN_mod_sqrt im IGW/936

 
Post new topic   Reply to topic    SSV-Forum Forum Index >>> IGW/936(-L)
<<< Previous topic - Next topic >>>  
Display posts from previous:   
Author Message
hne



Joined: 11 Jul 2008
Posts: 210
Location: Hannover

PostPosted: 21.03.2022, 16:03    Post subject: CVE-2022-0778 BN_mod_sqrt im IGW/936 Reply with quote

Das Standard Industrial Gateway IGW/936 und IGW/936-L sind von der Schwachstelle CVE-2022-0778 in der Funktion BN_mod_sqrt() betroffen.

Wie in der Beschreibung erwähnt wird, könnte ein Angreifer mit einem entsprechend präparierten Client-Zertifikat den Prozess im Gerät in eine Endlosschleife versetzen. Betroffen davon sind alle Dienste, die ein Zertifikat vom Client annehmen, z.B. HTTPS-WebServer, MQTT-Server usw. Es ist theoretisch auch möglich, einen SSL-Client darüber anzugreifen, indem ein Man-in-the-Middle so ein präpariertes Server-Zertifikat einschleust.

Folgende Versionen für die Bibliothek openssl stehten bei SSV für das IGW/936 zur Verfügung.

  • OpenSSL 0.9.8j-r3.1
  • OpenSSL 1.0.2u-r1.1
  • OpenSSL 1.1.1n-r8877

Bitte das "release" beachten. Den Zugang zum Download-Bereich erfragen Sie bitte über unseren Vertrieb.

Um zu prüfen, ob die openssl Bibliothek aktualisiert wurde, ruft man openssl version an der Console auf. Dort sollte das Jahr 2022 erscheinen, z.B.:
Code:
# openssl version
OpenSSL 1.1.1n  15 Mar 2022

Einige Server- und Client-Prozesse, wie openvpn zeigen die Version des openssl im Syslog.

An einem vollständigen Firmware-Update wird berits gearbeitet.

Weitere Hinweise:
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://www.openssl.org/news/secadv/20220315.txt

edit: Build Nummer korrigiert: 1.1.1n-r8877, nicht 8880
_________________
Henry Nestler


Last edited by hne on 12.04.2022, 12:41; edited 1 time in total
Back to top
View user's profile Send private message Visit poster's website
hne



Joined: 11 Jul 2008
Posts: 210
Location: Hannover

PostPosted: 23.03.2022, 13:06    Post subject: Firmware Download Reply with quote

Eine neue Firmware steht jetzt zum Download bereit:

https://www.ssv-embedded.de/downloads/igw936/

Im Menü System * Firmware update können Sie das Update per "Check update" installieren. Das Gateway benötigt dazu eine Internetverbindung.
_________________
Henry Nestler
Back to top
View user's profile Send private message Visit poster's website
Horst



Joined: 19 May 2014
Posts: 14

PostPosted: 28.03.2022, 22:12    Post subject: Re: CVE-2022-0778 BN_mod_sqrt im IGW/936 Reply with quote

Quote:

Um zu prüfen, ob die openssl Bibliothek aktualisiert wurde, ruft man openssl version an der Console auf. Dort sollte das Jahr 2022 erscheinen, z.B.:
Code:
# openssl version
OpenSSL 1.1.1n  15 Mar 2022



Code:

root@SOK-Pruefstand:~# cat /etc/ssvversion
SSVVERSION='3.14'
SSVBUILD='8882'
root@SOK-Pruefstand:~# openssl version
OpenSSL 1.0.2u  20 Dec 2019

Aktuelle Firmware installiert und trotzdem eine alte openssl Version.

Wie kommt's?
Back to top
View user's profile Send private message
hne



Joined: 11 Jul 2008
Posts: 210
Location: Hannover

PostPosted: 11.04.2022, 15:18    Post subject: Reply with quote

Zum Vergleich, die Firmware 3.13 hatte
Code:
# openssl version
OpenSSL 1.0.2d 9 Jul 2015


Der Quellcode vom Binary "openssl" wurde nicht verändert, daher ist in dem Fall das alte Datum sichtbar.
Um die release-Version zu sehen muss man die Paket-Verwaltung fragen:
Code:

# ipkg list_installed | grep libcrypto
libcrypto0.9.8 - 0.9.8j-r3.1 - Secure Socket Layer (SSL) binary and ...
libcrypto1.0.0 - 1.0.2u-r1.1 - Secure Socket Layer (SSL) binary and ...


0.9.8j-r3.1 und 1.0.2u-r1.1 sind die aktualisierten Versionen.

Bei Bedarf kann man selbst 1.1.1n installieren, und würde dann 2022 als Quellcode-Datum sehen. Openssl 1.1.1 ist jedoch nicht kompatibel zu 1.0.x. Programmen, wie openvpn, curl usw. würden dieses openssl nicht benutzen können, ohne das man auch openssl, curl usw. neu compiliert.

Um möglichst compatibel zu bleiben, wurde lediglich der Fehler behoben und die Release-Version hochgezählt.
_________________
Henry Nestler
Back to top
View user's profile Send private message Visit poster's website
Display posts from previous:   
Post new topic   Reply to topic    SSV-Forum Forum Index >>> IGW/936(-L) All times are GMT + 1 Hour
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum

SSV Software Systems GmbH

Dünenweg 5
30419 Hannover

Fon: +49(0)511  ·  40 000-0
Fax: +49(0)511  ·  40 000-40

sales@ssv-embedded.de


Impressum    ·    Datenschutz    ·    AGB

© 2023 SSV SOFTWARE SYSTEMS GmbH. Alle Rechte vorbehalten.

ISO 9001:2015