hne
Joined: 11 Jul 2008 Posts: 210 Location: Hannover
|
Posted: 22.03.2022, 07:45 Post subject: CVE-2022-0778 BN_mod_sqrt im RMG/941CL |
|
|
Das Gateway RMG/941CL ist von der Schwachstelle CVE-2022-0778 in der Funktion BN_mod_sqrt() betroffen.
Wie in der Beschreibung erwähnt wird, könnte ein Angreifer mit einem entsprechend präparierten Client-Zertifikat den Prozess im Gerät in eine Endlosschleife versetzen. Betroffen davon sind alle Dienste, die ein Zertifikat vom Client annehmen, z.B. HTTPS-WebServer, MQTT-Server usw.
Über die Debian-Paketverwaltung kann ein Update bezogen werden. Stichtag ist der 14.03.2022. Updates ab diesem Tag beseitigen das Problem:
Um das Update aufzurufen, ist ein Internetzugang notwendig, und es sind folgende Befehle als Benutzer root einzugeben:
Code: | remount rw
apt-get update
apt-get install libssl1.1 openssl
remount ro
|
Um zu prüfen, ob die openssl Bibliothek aktualisiert wurde, ruft man dpkg -llibssl1.1 an der Console auf. Dort sollte "deb10u8" oder höher erscheinen, z.B.:
Code: | # dpkg -l libssl1.1 openssl
ii libssl1.1:armhf 1.1.1d-0+deb10u8 ...
ii openssl 1.1.1d-0+deb10u8 ... |
Einige Server- und Client-Prozesse, wie openvpn zeigen die Version des openssl im Syslog.
Auch kann man die vollständigen Versionsinformationen abfragen, und schauen, dass dort das Jahr 2022 erscheint:
Code: | # openssl version -a
OpenSSL 1.1.1d 10 Sep 2019
built on: Mon Mar 14 20:10:26 2022 UTC
... |
Weitere Hinweise:
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://www.openssl.org/news/secadv/20220315.txt
https://security-tracker.debian.org/tracker/CVE-2022-0778 _________________ Henry Nestler |
|