SUSE SLED15 / SLES15 / openSUSE 15 のセキュリティ更新 : openssl-1_1 (SUSE-SU-2024:3905-1)
high Nessus プラグイン ID 210293
Language:
概要
リモートの SUSE ホストにセキュリティ更新がありません。説明
リモートの SUSE Linux SLED15 / SLED_SAP15 / SLES15 / SLES_SAP15 / openSUSE 15 ホストには、SUSE-SU-2024:3905-1 のアドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。セキュリティ修正:
CVE-2023-50782: PKCS#1 v1.5 での暗黙の拒否 (bsc#1220262)
その他の修正:
- FIPS: AES GCM 外部 IV 実装 (bsc#1228618)
- FIPS: サイズ >= 112 ビットの PBKDF2 および HKDF HMAC 入力キーを、SLI で承認済みとしてマーク。(bsc#1228623)
- FIPS: KDF を FIPS スタイルで実施 (bsc#1224270)
- FIPS: HKDF および TLSv1.3 KDF を SLI で承認済みとしてマーク (bsc#1228619)
- FIPS: X9.31 スキームが FIPS 186-5の RSA 署名操作に対して承認されていない。(bsc#1224269)
- FIPS: PSS の長さ要件を区別 (bsc#1224275)
- FIPS: sigGen および sigVer プリミティブを未承認としてマーク (bsc#1224272)
- FIPS: PKCSv1.5 を無効にし、FIPS モードでシェイク (bsc#1224271)
- FIPS: SHA1 を SLI で未承認としてマーク (bsc#1224266)
- FIPS: DH FIPS セルフテストおよび安全なプライムグループ (bsc#1224264)
- FIPS: 不要な FIPS DRBG ファイルを削除 (bsc#1224268)
- FIPS: DH キーを生成する際に、Pair-wise Consistency Test を追加 (bsc#1224265)
- FIPS: 承認されていない KDF タイプを許可しない (bsc#1224267)
- FIPS: 1024 の RSA sigVer および ECDSA sigVer/keyVer P-192 を許可しない (bsc#1224273)
- FIPS: DRBG コンポーネントチェーン (bsc#1224258)
- FIPS: CRNGT_BUFSIZ を Jitter RNG 出力サイズに合わせる (bsc#1224260)
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.suse.com/1220262
https://bugzilla.suse.com/1224258
https://bugzilla.suse.com/1224260
https://bugzilla.suse.com/1224264
https://bugzilla.suse.com/1224265
https://bugzilla.suse.com/1224266
https://bugzilla.suse.com/1224267
https://bugzilla.suse.com/1224268
https://bugzilla.suse.com/1224269
https://bugzilla.suse.com/1224270
https://bugzilla.suse.com/1224271
https://bugzilla.suse.com/1224272
https://bugzilla.suse.com/1224273
https://bugzilla.suse.com/1224275
https://bugzilla.suse.com/1228618
https://bugzilla.suse.com/1228619
https://bugzilla.suse.com/1228623
プラグインの詳細
深刻度: High
ID: 210293
ファイル名: suse_SU-2024-3905-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2024/11/5
更新日: 2024/11/5
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 5.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
CVSS スコアのソース: CVE-2023-50782
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libopenssl-1_1-devel, p-cpe:/a:novell:suse_linux:openssl-1_1, p-cpe:/a:novell:suse_linux:libopenssl1_1, p-cpe:/a:novell:suse_linux:libopenssl1_1-32bit, cpe:/o:novell:suse_linux:15
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2024/11/4
脆弱性公開日: 2024/2/5
参照情報
CVE: CVE-2023-50782
SuSE: SUSE-SU-2024:3905-1