IT-Sicherheit: CISCO Appliance, Juniper Appliance und Linux gefährdet - Update für IT-Sicherheitshinweis zu OpenSSL (Risiko: mittel)

Eine für OpenSSL herausgegebener Sicherheitshinweis hat vom BSI ein Update erhalten. Welche Produkte von der Sicherheitslücke betroffen sind, lesen Sie hier auf news.de.

Erstellt von - Uhr

Aktuelle IT-Sicherheitshinweise auf news.de (Symbolbild). (Foto) Suche
Aktuelle IT-Sicherheitshinweise auf news.de (Symbolbild). Bild: Adobe Stock / 123tin

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 02.11.2025 ein Update zu einer am 01.08.2016 bekanntgewordenen Sicherheitslücke für OpenSSL veröffentlicht. Betroffen von der Sicherheitslücke sind die Betriebssysteme CISCO Appliance, Juniper Appliance, Linux, MacOS X, UNIX und Windows sowie die Produkte Cisco Nexus 7000, Cisco Nexus 5000, Cisco Packet Tracer, Cisco Secure Access Control Server (ACS), Cisco AnyConnect Secure Mobility Solution, Cisco IOS XE, Cisco Nexus 1000V, Cisco TelePresence Video Communication Server, Cisco Unity Connection, Ubuntu Linux, Cisco ACE, Cisco IOS, Cisco Wireless LAN Controllers, Cisco Unified Communications Domain Manager (CUCDM), Cisco Prime Collaboration, Cisco Email Security Appliance, Cisco Unity Express, Cisco Digital Media Manager, Cisco Emergency Responder, Cisco Intrusion Prevention System (IPS), Cisco IP Phone, Cisco Network Analysis Module, Cisco Unified Communications Manager (CUCM), Cisco Unified Contact Center Enterprise, Cisco Unified MeetingPlace (MP), Cisco Wide Area Application Services, Debian Linux, Juniper JUNOS, Cisco Video Surveillance, Cisco Security Manager (CSM), Cisco Application Networking Manager, Xerox FreeFlow Print Server, Cisco Small Business 300 Series Managed Switches, Cisco Prime Infrastructure, Cisco MDS 9000, Cisco WebEx Meetings Server, Cisco WebEx Node for MCS, Juniper Junos Space, Cisco Unified IP Phone, Cisco ONS, Cisco WebEx Meeting Center, Cisco Unified Contact Center Express (UCCX), Cisco Show and Share, Cisco Nexus, Cisco Nexus 6000, Cisco Nexus 9000, Oracle Linux, Cisco Advanced Malware Protection, Open Source OpenSSL, SUSE Linux Enterprise Server, Juniper ScreenOS, Dell NetWorker und F5 BIG-IP.

Die neuesten Hersteller-Empfehlungen bezüglich Updates, Workarounds und Sicherheitspatches für diese Sicherheitslücke finden Sie hier: F5 Security Advisory K02652550 (Stand: 31.10.2025). Weitere nützliche Quellen werden weiter unten in diesem Artikel aufgeführt.

Sicherheitshinweis für OpenSSL - Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Base Score: 7,5
CVSS Temporal Score: 6,5
Remoteangriff: Ja

Zur Einschätzung der Verwundbarkeit von Computersystemen wird das Common Vulnerability Scoring System (CVSS) angewandt. Der CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken auf Basis verschiedener Metriken miteinander zu vergleichen, um Gegenmaßnahmen besser priorisieren zu können. Für die Schweregrade einer Schwachstelle werden die Attribute "keine", "niedrig", "mittel", "hoch" und "kritisch" verwendet. Der Base Score bewertet die Voraussetzungen für einen Angriff (u.a. Authentifizierung, Komplexität, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Der Temporal Score berücksichtigt darüber hinaus zeitliche Veränderungen hinsichtlich der Gefahrenlage. Das Risiko der hier behandelten Schwachstelle wird nach dem CVSS mit einem Base Score von 7,5 als "mittel" eingestuft.

OpenSSL Bug: Schwachstelle ermöglicht Denial of Service

OpenSSL ist eine im Quelltext frei verfügbare Bibliothek, die Secure Sockets Layer (SSL) und Transport Layer Security (TLS) implementiert.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in OpenSSL ausnutzen, um einen Denial of Service Angriff durchzuführen.

Die Verwundbarkeit wird mit der individuellen CVE-Seriennummer (Common Vulnerabilities and Exposures) CVE-2016-2180 gehandelt.

Von der OpenSSL-Sicherheitslücke betroffene Systeme im Überblick

Betriebssysteme
CISCO Appliance, Juniper Appliance, Linux, MacOS X, UNIX, Windows

Produkte
Cisco Nexus 7000 (cpe:/h:cisco:nexus_7000)
Cisco Nexus 5000 (cpe:/h:cisco:nexus_5000)
Cisco Packet Tracer (cpe:/a:cisco:packet_tracer)
Cisco Secure Access Control Server (ACS) (cpe:/a:cisco:secure_access_control_server)
Cisco AnyConnect Secure Mobility Solution (cpe:/a:cisco:anyconnect_secure_mobility_client)
Cisco IOS XE (cpe:/o:cisco:ios_xe)
Cisco Nexus 1000V (cpe:/h:cisco:nexus_1000v)
Cisco TelePresence (cpe:/h:cisco:telepresence_video_communication_server)
Cisco Unity Connection (cpe:/a:cisco:unity_connection)
Ubuntu Linux 12.04 LTS (cpe:/o:canonical:ubuntu_linux)
Cisco ACE (cpe:/a:cisco:application_control_engine_software)
Cisco Aironet Access Point (cpe:/h:cisco:aironet_3500)
Cisco IOS (cpe:/o:cisco:ios)
Cisco Wireless LAN Controllers (cpe:/a:cisco:wireless_lan_controllers)
Cisco Unified Communications Domain Manager (CUCDM) (cpe:/a:cisco:unified_communications_domain_manager)
Cisco Prime Collaboration (cpe:/a:cisco:prime_collaboration)
Cisco Email Security Appliance (cpe:/h:cisco:email_security_appliance)
Cisco Unity Express (cpe:/h:cisco:unity_express)
Cisco Digital Media Manager (cpe:/a:cisco:digital_media_manager)
Cisco Emergency Responder (cpe:/a:cisco:emergency_responder)
Cisco Intrusion Prevention System (IPS) (cpe:/h:cisco:intrusion_prevention_system)
Cisco IP Phone (cpe:/h:cisco:ip_phone)
Cisco Network Analysis Module (cpe:/h:cisco:network_analysis_module)
Cisco Unified Communications Manager (CUCM) (cpe:/a:cisco:unified_communications_manager)
Cisco Unified Contact Center Enterprise (cpe:/a:cisco:unified_contact_center_enterprise)
Cisco Unified MeetingPlace (MP) (cpe:/a:cisco:unified_meetingplace)
Cisco Wide Area Application Services (cpe:/a:cisco:wide_area_application_services)
Debian Linux Jessie (8.0) (cpe:/o:debian:debian_linux)
Juniper JUNOS (cpe:/o:juniper:junos)
Cisco Video Surveillance (cpe:/a:cisco:video_surveillance_ip_gateway_encoder_decoder)
Cisco Security Manager (CSM) (cpe:/a:cisco:security_manager)
Cisco Application Networking Manager (cpe:/a:cisco:application_networking_manager)
Xerox FreeFlow Print Server (cpe:/a:xerox:freeflow_print_server)
Cisco Small Business 300 Series Managed Switches (cpe:/h:cisco:small_business_300_series_managed_switches)
Cisco Prime Infrastructure (cpe:/a:cisco:prime_infrastructure)
Cisco MDS 9000 (cpe:/o:cisco:mds_9000)
Cisco WebEx Meetings Server (cpe:/a:cisco:webex_meetings_server)
Cisco WebEx Node for MCS (cpe:/a:cisco:webex_node_for_mcs)
Juniper Junos Space (cpe:/a:juniper:junos_space)
Cisco Unified IP Phone (cpe:/h:cisco:unified_ip_phones)
Cisco ONS (cpe:/h:cisco:ons)
Cisco WebEx Meeting Center (cpe:/a:cisco:webex_meeting_center)
Ubuntu Linux 14.04 LTS (cpe:/o:canonical:ubuntu_linux)
Cisco Unified Contact Center Express (UCCX) (cpe:/h:cisco:unified_contact_center_express)
Cisco Show and Share (cpe:/a:cisco:show_and_share)
Cisco Nexus 2000 (cpe:/h:cisco:nexus)
Cisco Nexus 6000 (cpe:/h:cisco:nexus_6000)
Cisco Nexus 9000 (cpe:/h:cisco:nexus_9000)
Oracle Linux (cpe:/o:oracle:linux)
Cisco Advanced Malware Protection (cpe:/h:cisco:advanced_malware_protection)
Open Source OpenSSL <=1.0.2h (cpe:/a:openssl:openssl)
Open Source OpenSSL <=1.0.2h (cpe:/a:openssl:openssl)
Ubuntu Linux 16.04 LTS (cpe:/o:canonical:ubuntu_linux)
SUSE Linux Enterprise Server (cpe:/o:suse:linux_enterprise_server)
Juniper ScreenOS (cpe:/o:juniper:screenos)
Dell NetWorker <19.10 (cpe:/a:dell:networker)
Dell NetWorker 19.10 (cpe:/a:dell:networker)
F5 BIG-IP (cpe:/a:f5:big-ip)

Allgemeine Maßnahmen zum Umgang mit IT-Schwachstellen

  1. Anwender der betroffenen Systeme sollten diese auf dem aktuellsten Stand halten. Hersteller sind bei Bekanntwerden von Sicherheitslücken dazu angehalten, diese schnellstmöglich durch Entwicklung eines Patches oder eines Workarounds zu beheben. Sollten Sicherheitspatches verfügbar sein, installieren Sie diese zeitnah.
  2. Konsultieren Sie zu Informationszwecken die im nächsten Abschnitt aufgeführten Quellen. Häufig enthalten diese weiterführende Informationen zur aktuellsten Version der betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
  3. Wenden Sie sich bei weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Quellen zu Updates, Patches und Workarounds

An dieser Stelle finden Sie weiterführende Links mit Informationen über Bug-Reports, Security-Fixes und Workarounds.

F5 Security Advisory K02652550 vom 2025-10-31 (02.11.2025)
Weitere Informationen finden Sie unter: https://my.f5.com/manage/s/article/K02652550

Dell Knowledge Base Article (25.01.2024)
Weitere Informationen finden Sie unter: https://www.dell.com/support/kbdoc/en-us/000221474/dsa-2024-059-security-update-for-dell-networker-multiple-components-vulnerabilities

Oracle Linux Security Advisory ELSA-2022-9272 vom 2022-04-08 (10.04.2022)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2022-9272.html

Oracle Linux Security Advisory ELSA-2021-9150 vom 2021-04-01 (31.03.2021)
Weitere Informationen finden Sie unter: https://linux.oracle.com/errata/ELSA-2021-9150.html

Oracle Linux Security Advisory ELSA-2019-4747 vom 2019-08-16 (18.08.2019)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2019-4747.html

Oracle Linux Security Advisory ELSA-2019-4581 vom 2019-03-13 (13.03.2019)
Weitere Informationen finden Sie unter: http://linux.oracle.com/errata/ELSA-2019-4581.html

McAfee Security Bulletin:SB10215 (07.12.2017)
Weitere Informationen finden Sie unter: https://kc.mcafee.com/corporate/index?page=content&id=SB10215

Xerox Security Bulletin XRX17-005 vom 2017-03-08 (08.03.2017)
Weitere Informationen finden Sie unter: https://www.xerox.com/download/security/security-bulletin/312e6-54a3954424112/cert_XRX17-005_FFPSv7_v9_UpdateManager_Mar2017.pdf

Xerox Security Bulletin XRX17-006 vom 2017-03-08 (08.03.2017)
Weitere Informationen finden Sie unter: https://www.xerox.com/download/security/security-bulletin/2efe6-54a395387fa39/cert_XRX17-006_FFPSv8_UpdateManager_Mar2017.pdf

Juniper Security Advisory JSA10770 vom 2017-01-12 (11.01.2017)
Weitere Informationen finden Sie unter: http://www.auscert.org.au/render.html?it=42842

Juniper Security Advisory JSA10774 vom 2017-01-12 (11.01.2017)
Weitere Informationen finden Sie unter: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10774

F5 Security Advisory SOL02652550 vom 2016-11-14 (14.11.2016)
Weitere Informationen finden Sie unter: https://support.f5.com/kb/en-us/solutions/public/k/02/sol02652550.html

Update des CISCO Security Advisory CISCO-SA-20160927-OPENSSL vom 2016-10-19 (19.10.2016)
Weitere Informationen finden Sie unter: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160927-openssl?vs_f=Cisco%20Security%20Advisory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Multiple%20Vulnerabilities%20in%20OpenSSL%20Affecting%20Cisco%20Products:%20September%202016&vs_k=1

Juniper Security Bulletin JSA10759 vom 2016-10-14 (16.10.2016)
Weitere Informationen finden Sie unter: https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10759&cat=SIRT_1&actp=LIST

SUSE Security Update SUSE-SU-2016:2469-1 vom 2016-10-07 (06.10.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20162469-1.html

CISCO Security Advisory CISCO-SA-20160927-OPENSSL vom 2016-09-27 (27.09.2016)
Weitere Informationen finden Sie unter: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160927-openssl?vs_f=Cisco%20Security%20Advisory&vs_cat=Security%20Intelligence&vs_type=RSS&vs_p=Multiple%20Vulnerabilities%20in%20OpenSSL%20Affecting%20Cisco%20Products:%20September%202016&vs_k=1

SUSE Security Update SUSE-SU-2016:2394-1 vom 2016-09-27 (27.09.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/support/update/announcement/2016/suse-su-20162394-1.html

Red Hat Security Advisory RHSA-2016:1940 vom 2016-09-27 (27.09.2016)
Weitere Informationen finden Sie unter: https://access.redhat.com/errata/RHSA-2016:1940

SUSE Security Update Announcement ID SUSE-SU-2016:2387-1 (26.09.2016)
Weitere Informationen finden Sie unter: https://www.suse.com/de-de/support/update/announcement/2016/suse-su-20162387-1.html

Ubuntu Security Notice USN-3087-2 vom 2016-09-23 (25.09.2016)
Weitere Informationen finden Sie unter: http://www.ubuntu.com/usn/usn-3087-2/

FreeBSD Security Advisory FREEBSD-SA-16:26.OPENSSL vom 2016-09-23 (25.09.2016)
Weitere Informationen finden Sie unter: https://security.FreeBSD.org/advisories/FreeBSD-SA-16:26.openssl.asc

Debian Security Advisory DSA-3673 vom 2016-09-22 (22.09.2016)
Weitere Informationen finden Sie unter: https://www.debian.org/security/2016/dsa-3673

National Vulnerability Database vom 2016-08-01 (01.08.2016)
Weitere Informationen finden Sie unter: https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2180

Versionshistorie dieses Sicherheitshinweises

Dies ist die 34. Version des vorliegenden IT-Sicherheitshinweises für OpenSSL. Bei Bekanntgabe weiterer Updates wird dieser Text aktualisiert. Die vorgenommenen Änderungen können Sie anhand der folgenden Versionshistorie nachvollziehen.

01.08.2016 - Initial Release
01.08.2016 - Version nicht vorhanden
22.09.2016 - New remediations available
25.09.2016 - New remediations available
25.09.2016 - Version nicht vorhanden
26.09.2016 - New remediations available
26.09.2016 - Version nicht vorhanden
27.09.2016 - New remediations available
27.09.2016 - New remediations available
27.09.2016 - Version nicht vorhanden
06.10.2016 - New remediations available
06.10.2016 - New remediations available
06.10.2016 - Version nicht vorhanden
06.10.2016 - Version nicht vorhanden
16.10.2016 - New remediations available
16.10.2016 - Version nicht vorhanden
16.10.2016 - Version nicht vorhanden
16.10.2016 - Version nicht vorhanden
16.10.2016 - Version nicht vorhanden
16.10.2016 - Version nicht vorhanden
14.11.2016 - New remediations available
14.11.2016 - Version nicht vorhanden
11.01.2017 - New remediations available
08.03.2017 - New remediations available
08.03.2017 - Version nicht vorhanden
08.03.2017 - New remediations available
08.03.2017 - Version nicht vorhanden
07.12.2017 - New remediations available
13.03.2019 - Neue Updates von Oracle Linux aufgenommen
18.08.2019 - Neue Updates von Oracle Linux aufgenommen
31.03.2021 - Neue Updates von Oracle Linux aufgenommen
10.04.2022 - Neue Updates von Oracle Linux aufgenommen
25.01.2024 - Neue Updates von Dell aufgenommen
02.11.2025 - Neue Updates von F5 aufgenommen

+++ Redaktioneller Hinweis: Dieser Text wurde auf Basis aktueller BSI-Daten generiert und wird je nach Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter hinweis@news.de entgegen. +++

/roj/news.de

Themen:

Erfahren Sie hier mehr über die journalistischen Standards und die Redaktion von news.de.

Bleiben Sie dran!

Wollen Sie wissen, wie das Thema weitergeht? Wir informieren Sie gerne.

Folgen Sie News.de

© 2025 MM New Media GmbH