リモートホストにインストールされているOpenSSLのバージョンは、1.0.2k-16.153より前です。したがって、ALAS-2021-1482のアドバイザリに記載されている複数の脆弱性の影響を受けます。

  -EVP_CipherUpdate、EVP_EncryptUpdateおよびEVP_DecryptUpdateへの呼び出しは、入力長がプラットフォーム上の整数の最大許容長さに近い場合、出力長引数をオーバーフローすることがあります。このような場合、関数呼び出しからの戻り値は1（成功を示す）になりますが、出力の長さの値は負になります。これにより、アプリケーションが不適切に動作したり、クラッシュしたりする可能性があります。
    OpenSSLバージョン1.1.1i以下は、この問題の影響を受けます。これらのバージョンのユーザーは、OpenSSL 1.1.1jにアップグレードする必要があります。OpenSSLバージョン1.0.2x以下はこの問題の影響を受けます。しかしながら、OpenSSL 1.0.2はサポートが終了しており、今後は一般の更新を受け取れません。OpenSSL1.0.2のプレミアムサポートのお客様はにアップグレードする必要があります。その他のユーザーは、1.0.2yにアップグレードする必要があります。OpenSSL 1.1.1jで修正されました（1.1.1～1.1.1iが影響を受けます）。
    OpenSSL 1.0.2yで修正されました（1.0.2～1.0.2xが影響を受けます）（CVE-2021-23840）

  - OpenSSLパブリックAPI関数X509_issuer_and_serial_hash()は、X509の証明書に含まれている発行者およびシリアルナンバーデータに基づき、一意のハッシュ値の作成を試みます。ただし、発行者フィールドの解析中に発生する可能性のあるエラー（発行者フィールドが悪意を持って構築された場合に発生する可能性がある）を、適切に処理できません。その後、NULLポインターのderefとクラッシュに至り、サービス拒否攻撃を引き起こす可能性があります。X509_issuer_and_serial_hash（）関数は、OpenSSL自体によって直接呼び出されることはありません。このため、アプリケーションは、この関数を直接使用し、信頼できないソースから取得した証明書でこの関数を使用する場合にのみ脆弱です。OpenSSLバージョン1.1.1i以下は、この問題の影響を受けます。これらのバージョンのユーザーは、OpenSSL 1.1.1jにアップグレードする必要があります。OpenSSLバージョン1.0.2x以下はこの問題の影響を受けます。しかしながら、OpenSSL 1.0.2はサポートが終了しており、今後は一般の更新を受け取れません。OpenSSL1.0.2のプレミアムサポートのお客様はにアップグレードする必要があります。その他のユーザーは、1.0.2yにアップグレードする必要があります。OpenSSL 1.1.1jで修正されました（1.1.1～1.1.1iが影響を受けます）。OpenSSL 1.0.2yで修正されました（1.0.2～1.0.2xが影響を受けます）（CVE-2021-23841）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Amazon Linux AMI：openssl（ALAS-2021-1482）

high Nessus プラグイン ID 146818

バージョン 1.4