Robert Merget氏、Marcus Brinkmann氏、Nimrod Aviram氏、およびJuraj Somorovsky氏は、TLS仕様およびOpenSSLによって実装された特定のディフィーヘルマン暗号スイートに欠陥があることを発見しました。リモートの攻撃者がこの問題を利用して、暗号化通信を傍受する可能性があります。この更新では、安全でない暗号スイートを無効にすることで、これを修正しました。

Debian 9「Stretch」では、この問題はバージョン1.0.2u-1~deb9u2で修正されています。

お使いのopenssl1.0パッケージをアップグレードすることを推奨します。

openssl1.0の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/openssl1.0

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-2378-1: openssl1.0セキュリティ更新

low Nessus プラグイン ID 140804

バージョン 1.5

バージョン 1.3

バージョン 1.5 Feb 20, 2024, 3:54 PM CVSSv2 score source (set to "CVE-2020-1968") Exploit attributes ("Exploit available" set to "False") Plugin Feed: 202402201554
バージョン 1.3 Dec 6, 2022, 4:40 AM Reference Plugin Feed: 202212060440