Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1363 Update 2

Risikostufe 2

Titel:Botan: Eine Schwachstelle ermöglicht u.a. das Ausspähen von InformationenDatum:06.10.2017Software:Botan < 1.10.17, Botan <= 1.11.34, Botan <= 2.1.0, Botan < 2.3.0Plattform:Debian Linux 8.9 Jessie, Red Hat Fedora 25, Red Hat Fedora 26, Red Hat Fedora 27, Extra Packages for Red Hat Enterprise Linux 6, Extra Packages for Red Hat Enterprise Linux 7Auswirkung:Ausspähen von InformationenRemoteangriff:JaRisiko:niedrigCVE Liste:CVE-2017-14737, CVE-2017-2801Bezug: Debian Security Advisory DSA-3939-1

Beschreibung

Botan ist eine Krypto-Bibliothek für C++, welche folgende Funktionen bietet: SSL / TLS, X.509-Zertifikate, ECDSA, AES, GCM und bcrypt.

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in der Implementierung des X.509 'Distinguished Name' (DN) Vergleichs in Botan ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen oder einen Denial-of-Service (DoS)-Angriff durchzuführen. Debian stellt für die vormals stabile Distribution Jessie ein Backport-Sicherheitsupdate bereit. Für die stabile Distribution Stretch wurde die Schwachstelle bereits vor der Erstveröffentlichung von Stretch behoben. Für Fedora 25 und 26 steht Botan in der Version 1.10.16 als Sicherheitsupdate im Status 'testing' bereit.