<<< Previous topic - Next topic >>> |
|
Author |
Message |
hne
Joined: 11 Jul 2008 Posts: 210 Location: Hannover
|
Posted: 21.03.2022, 16:03 Post subject: CVE-2022-0778 BN_mod_sqrt im IGW/936 |
|
|
Das Standard Industrial Gateway IGW/936 und IGW/936-L sind von der Schwachstelle CVE-2022-0778 in der Funktion BN_mod_sqrt() betroffen.
Wie in der Beschreibung erwähnt wird, könnte ein Angreifer mit einem entsprechend präparierten Client-Zertifikat den Prozess im Gerät in eine Endlosschleife versetzen. Betroffen davon sind alle Dienste, die ein Zertifikat vom Client annehmen, z.B. HTTPS-WebServer, MQTT-Server usw. Es ist theoretisch auch möglich, einen SSL-Client darüber anzugreifen, indem ein Man-in-the-Middle so ein präpariertes Server-Zertifikat einschleust.
Folgende Versionen für die Bibliothek openssl stehten bei SSV für das IGW/936 zur Verfügung.
- OpenSSL 0.9.8j-r3.1
- OpenSSL 1.0.2u-r1.1
- OpenSSL 1.1.1n-r8877
Bitte das "release" beachten. Den Zugang zum Download-Bereich erfragen Sie bitte über unseren Vertrieb.
Um zu prüfen, ob die openssl Bibliothek aktualisiert wurde, ruft man openssl version an der Console auf. Dort sollte das Jahr 2022 erscheinen, z.B.:
Code: | # openssl version
OpenSSL 1.1.1n 15 Mar 2022 |
Einige Server- und Client-Prozesse, wie openvpn zeigen die Version des openssl im Syslog.
An einem vollständigen Firmware-Update wird berits gearbeitet.
Weitere Hinweise:
https://nvd.nist.gov/vuln/detail/CVE-2022-0778
https://www.openssl.org/news/secadv/20220315.txt
edit: Build Nummer korrigiert: 1.1.1n-r8877, nicht 8880 _________________ Henry Nestler
Last edited by hne on 12.04.2022, 12:41; edited 1 time in total |
|
Back to top |
|
|
hne
Joined: 11 Jul 2008 Posts: 210 Location: Hannover
|
Posted: 23.03.2022, 13:06 Post subject: Firmware Download |
|
|
Eine neue Firmware steht jetzt zum Download bereit:
https://www.ssv-embedded.de/downloads/igw936/
Im Menü System * Firmware update können Sie das Update per "Check update" installieren. Das Gateway benötigt dazu eine Internetverbindung. _________________ Henry Nestler |
|
Back to top |
|
|
Horst
Joined: 19 May 2014 Posts: 14
|
Posted: 28.03.2022, 22:12 Post subject: Re: CVE-2022-0778 BN_mod_sqrt im IGW/936 |
|
|
Quote: |
Um zu prüfen, ob die openssl Bibliothek aktualisiert wurde, ruft man openssl version an der Console auf. Dort sollte das Jahr 2022 erscheinen, z.B.:
Code: | # openssl version
OpenSSL 1.1.1n 15 Mar 2022 |
|
Code: |
root@SOK-Pruefstand:~# cat /etc/ssvversion
SSVVERSION='3.14'
SSVBUILD='8882'
root@SOK-Pruefstand:~# openssl version
OpenSSL 1.0.2u 20 Dec 2019
|
Aktuelle Firmware installiert und trotzdem eine alte openssl Version.
Wie kommt's? |
|
Back to top |
|
|
hne
Joined: 11 Jul 2008 Posts: 210 Location: Hannover
|
Posted: 11.04.2022, 15:18 Post subject: |
|
|
Zum Vergleich, die Firmware 3.13 hatte
Code: | # openssl version
OpenSSL 1.0.2d 9 Jul 2015
|
Der Quellcode vom Binary "openssl" wurde nicht verändert, daher ist in dem Fall das alte Datum sichtbar.
Um die release-Version zu sehen muss man die Paket-Verwaltung fragen:
Code: |
# ipkg list_installed | grep libcrypto
libcrypto0.9.8 - 0.9.8j-r3.1 - Secure Socket Layer (SSL) binary and ...
libcrypto1.0.0 - 1.0.2u-r1.1 - Secure Socket Layer (SSL) binary and ...
|
0.9.8j-r3.1 und 1.0.2u-r1.1 sind die aktualisierten Versionen.
Bei Bedarf kann man selbst 1.1.1n installieren, und würde dann 2022 als Quellcode-Datum sehen. Openssl 1.1.1 ist jedoch nicht kompatibel zu 1.0.x. Programmen, wie openvpn, curl usw. würden dieses openssl nicht benutzen können, ohne das man auch openssl, curl usw. neu compiliert.
Um möglichst compatibel zu bleiben, wurde lediglich der Fehler behoben und die Release-Version hochgezählt. _________________ Henry Nestler |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|