[Generic/RSA] Schwachstelle in RSA Krypto-Bibliothek

[RUS-CERT (Oliver Goebel)]

[Generic/RSA] Schwachstelle in RSA Krypto-Bibliothek
(2007-05-23 17:28:02.021228+02)
Quelle: http://www.kb.cert.org/vuls/id/754281

Eine Schwachstelle in den kryptographischen Bibliotheken Crypto-C und
Cert-C des Verschlüsselungssoftwareherstellers RSA Inc. kann dazu
ausgenutzt werden, die aufrufende Applikation oder das Betriebssystem
des beherbergenden Rechnersystems in einen unbenutzbaren Zustand zu
bringen (Denial of Service). Die Bibliotheken werden in den Produkten
zahlreicher Dritthersteller verwendet.

Betroffene Systeme
* RSA BSAFE Crypto-C Bibliothek vor Version 6.3.1
* RSA BSAFE Cert-C Bibliothek vor Version 2.8
* Produkte verschiedener Dritthersteller, die diese Bliotheken
verwenden:
+ für Produkte von Cisco Inc. siehe [1]RUS-CERT#1374
+ Weitere: siehe [2]Vulnerability Note VU#754281: Systems
Affected

Nicht betroffene Systeme
* RSA BSAFE Crypto-C Version 6.3.1
* RSA BSAFE Cert-C Version 2.8
* Produkte verschiedener Dritthersteller, die diese Bliotheken
verwenden:
+ für Produkte von Cisco Inc. siehe [3]RUS-CERT#1374
+ Weitere: siehe [4]Vulnerability Note VU#754281

Einfallstor
Speziell formuliertes Datenobjekt in ASN.1-Notation

Angriffsvoraussetzung
Ein Angreifer muss in der Lage sein, einem verwundbaren System eine
entsprechende Nachricht über eine Netzwerkverbindung zu senden. Dabei
ist es nicht erforderlich, dass der Angreifer ein gültiges und
zugelassenes Zertifikat oder sonstige Authentifizierungsmittel und die
damit verbundenen Autorisierungen besitzt.

Auswirkung
Nichtverfügbarkeit der aufrufenden Applikation oder des aufrufenden
Betriebssystems
(Denial of Service)

Typ der Verwundbarkeit
unbekannt

Gefahrenpotential
Je nach Einsatz der Bibliothek mittel bis hoch
(Hinweise zur [5]Einstufung des Gefahrenpotentials.)

Kontext
Die Abstract Syntax Notation 1 ([6]ASN.1) spezifiziert, wie beliebige
Daten in strukturierter Form abgelegt werden können. Sogenannte
Encoding Rules legen fest, wie diese Daten in einen Strom von Bytes
umzuwandeln sind. Dieser Bytestrom kann beispielsweise über ein
Rechnernetz zu einem anderen System übertragen werden, welches den
Bytestrom dekodieren kann und somit Zugriff auf die ursprünglichen,
strukturierten Daten erhält.

Beschreibung
Eine Schwachstelle in den kryptographischen Bibliotheken Crypto-C und
Cert-C des Verschlüsselungssoftwareherstellers [7]RSA Inc. kann dazu
ausgenutzt werden, die verwendende Applikation oder das Betriebssystem
des beherbergenden Rechnersystems in einen unbenutzbaren Zustand zu
versetzen (Denial of Service). Die Schwachstelle tritt auf, wenn
Routinen der Bibliotheken speziell formulierte Datenobjekte in
ASN.1-Syntax verarbeiten. Die Bibliotheken werden von zahlreichen
Herstellern in ihren Applikationen und/oder Betriebssystemen
verwendet.
Um die Schwachstelle erfolgreich auszunutzen, muss der Angreifer in
der Lage sein, einem verwundbaren System eine entsprechende Nachricht
über eine Netzwerkverbindung zu senden. Dabei ist es nicht
erforderlich, dass der Angreifer ein gültiges und zugelassenes
Zertifikat oder sonstige Authentifizierungsmittel und die damit
verbundenen Autorisierungen besitzt.

Gegenmaßnahmen
* Installation von RSA BSAFE Crypto-C Version 6.3.1, detailliertere
Information ist auf der [8]Support-Seite von RSA Inc. zu finden
* Installation von RSA BSAFE Cert-C Version 2.8, detailliertere
Information ist auf der [9]Support-Seite von RSA Inc. zu finden
* für Produkte von Cisco Inc. siehe [10]RUS-CERT#1374
* Weitere: siehe [11]Vulnerability Note VU#754281: Systems Affected

Vulnerability ID
* [12]CVE-2006-3894
* [13]VU#754281

Revisionen dieser Meldung
* V 1.0 (2007-05-23)
* V 1.1 (2007-05-23): Zur Erhöhung der Sichtbarkeit speziell der
Information zer betroffenen Cisco-Systeme wurde diese als eigene
Meldung veröffentlicht ([14]RUS-CERT#1374).
* V 1.2 (2007-05-24): Information zu weiteren verwundbaren Produkten
von Drittherstellern hinzugefügt

Aktuelle Version dieses Artikels
[15]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1372

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2007 RUS-CERT, Universität Stuttgart,
[16]http://CERT.Uni-Stuttgart.DE/

References

1. http://cert.uni-stuttgart.de/ticker/article.php?mid=1374
2. http://www.kb.cert.org/vuls/id/754281#systems
3. http://cert.uni-stuttgart.de/ticker/article.php?mid=1374
4. http://www.kb.cert.org/vuls/id/754281#systems
5. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
6. http://de.wikipedia.org/wiki/ASN.1
7. http://www.rsa.com/
8. http://www.rsa.com/node.aspx?id=1067
9. http://www.rsa.com/node.aspx?id=1067
10. http://cert.uni-stuttgart.de/ticker/article.php?mid=1374
11. http://www.kb.cert.org/vuls/id/754281#systems
12. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3894
13. http://www.kb.cert.org/vuls/id/754281
14. http://cert.uni-stuttgart.de/ticker/article.php?mid=1374
15. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1372
16. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Aut...@Lists.CERT.Uni-Stuttgart.DE