FreeBSD : mbed TLS (PolarSSL) -- 複数の脆弱性（d8382a69-4728-11e8-ba83-0011d823eebd）

high Nessus プラグイン ID 109289

Language:

概要

リモートのFreeBSDホストに1つ以上のセキュリティ関連の更新プログラムがありません。

説明

Simon Butcher による報告：

- RSA秘密鍵操作の結果を検証することにより、Bellcoreグリッチ攻撃から身を守ります。

- 切り捨てられたHMAC拡張の実装を修正します。以前の実装では、単一の中断されていない接続（セッション再開なし）のHMACキーで、オフラインの2^80ブルートフォース攻撃が可能でした。

- サポートされていない重要な拡張を含むCRLを拒否します。Falko Strenzke氏およびEvangelos Karatsiolis氏により発見されました。

- 無効な入力でクラッシュを引き起こす可能性のある、ssl_parse_server_key_exchange()のバッファオーバーリードを修正します。

- 無効な入力でクラッシュを引き起こす可能性のある、ssl_parse_server_psk_hint()のバッファオーバーリードを修正します。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?ecf19cb0

http://www.nessus.org/u?50a8c869

プラグインの詳細

深刻度: High

ID: 109289

ファイル名: freebsd_pkg_d8382a69472811e8ba830011d823eebd.nasl

バージョン: 1.2

タイプ: local

ファミリー: FreeBSD Local Security Checks

公開日: 2018/4/24

更新日: 2018/11/10

サポートされているセンサー: Nessus

脆弱性情報

CPE: p-cpe:/a:freebsd:freebsd:mbedtls, p-cpe:/a:freebsd:freebsd:polarssl13, cpe:/o:freebsd:freebsd

必要な KB アイテム: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

パッチ公開日: 2018/4/23

脆弱性公開日: 2018/3/21