RHEL 9 : openssl (RHSA-2023: 2523)
high Nessus プラグイン ID 175461
Language:
概要
リモートの Red Hat ホストに openssl 用のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 9 ホストにインストールされているパッケージは、RHSA-2023: 2523 のアドバイザリに記載されている脆弱性の影響を受けます。- OpenSSL はレガシー EVP_CIPHER_meth_new() 関数および関連する関数呼び出しを介したカスタム暗号の作成をサポートします。この関数は OpenSSL3.0 で廃止されましたので、アプリケーション作成者は、カスタム暗号を実装するために新しいプロバイダーメカニズムを使用することが推奨されます。OpenSSL バージョン 3.0.0から 3.0.5では、EVP_EncryptInit_ex2()、EVP_DecryptInit_ex2() および EVP_CipherInit_ex2() 関数 (および他の類似した名前の暗号化および復号化の初期化関数) に渡されたレガシーカスタム暗号が不適切に処理されます。カスタム暗号を直接使用する代わりに、利用可能なプロバイダーの同等の暗号を誤ってフェッチしようとします。EVP_CIPHER_meth_new() に渡された NID に基づいて、同等の暗号が見つかりました。この NID は特定の暗号の一意の NID を表すことが想定されています。ただし、EVP_CIPHER_meth_new() への呼び出しで、アプリケーションがこの値として NID_undef を誤って渡す可能性があります。NID_undef がこのように使用されると、OpenSSL 暗号化/復号化初期化関数は NULL 暗号を同等であると一致させ、これを利用可能なプロバイダーからフェッチします。
これはデフォルトのプロバイダーがロードされている場合 (またはこの暗号を提供するサードパーティプロバイダーがロードされている場合) に成功します。NULL 暗号を使用することは、平文が暗号テキストとして出力されることを意味します。
アプリケーションがこの問題の影響を受けるのは、NID_undef を使用して EVP_CIPHER_meth_new() を呼び出し、その後暗号化/復号化初期化関数への呼び出しで使用する場合のみです。SSL/TLS のみを使用するアプリケーションは、この問題の影響を受けません。OpenSSL 3.0.6 (3.0.0-3.0.5 が影響を受けます) で修正されました。(CVE-2022-3358)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
RHEL openssl パッケージを、RHSA-2023: 2523 のガイダンスに基づき更新してください。参考資料
http://www.nessus.org/u?e6e0fa37
http://www.nessus.org/u?ecefa061
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=2060044
https://bugzilla.redhat.com/show_bug.cgi?id=2083879
https://bugzilla.redhat.com/show_bug.cgi?id=2094956
https://bugzilla.redhat.com/show_bug.cgi?id=2128412
https://bugzilla.redhat.com/show_bug.cgi?id=2129063
https://bugzilla.redhat.com/show_bug.cgi?id=2133809
https://bugzilla.redhat.com/show_bug.cgi?id=2134740
https://bugzilla.redhat.com/show_bug.cgi?id=2136250
https://bugzilla.redhat.com/show_bug.cgi?id=2137557
https://bugzilla.redhat.com/show_bug.cgi?id=2141597
https://bugzilla.redhat.com/show_bug.cgi?id=2141695
https://bugzilla.redhat.com/show_bug.cgi?id=2141748
https://bugzilla.redhat.com/show_bug.cgi?id=2142087
https://bugzilla.redhat.com/show_bug.cgi?id=2142121
https://bugzilla.redhat.com/show_bug.cgi?id=2142131
https://bugzilla.redhat.com/show_bug.cgi?id=2142517
https://bugzilla.redhat.com/show_bug.cgi?id=2144561
https://bugzilla.redhat.com/show_bug.cgi?id=2157965
プラグインの詳細
深刻度: High
ID: 175461
ファイル名: redhat-RHSA-2023-2523.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2023/5/13
更新日: 2024/4/28
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2022-3358
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:openssl-devel, p-cpe:/a:redhat:enterprise_linux:openssl-libs, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:openssl, p-cpe:/a:redhat:enterprise_linux:openssl-perl
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/5/9
脆弱性公開日: 2022/9/29
参照情報
CVE: CVE-2022-3358