MiracleLinux 4openssl-1.0.0-20.AXS4AXSA:2012-14:01
critical Nessus プラグイン ID 284469
Language:
概要
リモートのMiracleLinuxホストにセキュリティ更新プログラムがありません。説明
リモートの MiracleLinux 4 ホストには、AXSA:2012-14:01 アドバイザリで言及されている脆弱性の影響を受けるパッケージがインストールされています。OpenSSL ツールキットは、マシン間の安全な通信をサポートします。OpenSSL には、さまざまな暗号アルゴリズムとプロトコルを提供する、証明書管理ツールと共有ライブラリがあります。
このリリースで修正されたセキュリティ問題
CVE-2011-3207 1.0.0e より前の の OpenSSL 1.0.x の crypto/x509/x509_vfy.c は、特定の構造メンバーを初期化しません。これにより、リモートの攻撃者が、過去の時間に対応する nextUpdate 値を使用することで、CRL 検証をバイパスすることがより簡単になります。
修正されたバグ:
- CHIL エンジンを繰り返しロードおよびアンロードすると、呼び出しプログラムが予期せず終了しました。
これは修正されました。
- 変数の初期化の欠落により、CHIL エンジンのロードが妨げられる可能性があります。これは修正されました。
強化:
- AES-NI 命令セットを備えた CPU 上の AES 暗号化アルゴリズム、ならびに 32 ビットおよび 64 ビット x86 アーキテクチャ上の SHA-1 および RC4 アルゴリズムのパフォーマンスを向上しました。
- OpenSSL ソースパッケージは、追加のパッチテスト目的なしでビルドできるようになりました。
- OpenSSL ライブラリのビルド中に、部分的な RELRO が有効になりました。これによりセキュリティが向上します。
- AEX-NI 命令アクセラレーションは、OPENSSL_DISABLE_AES_NI 環境変数を任意の値に設定することで無効にできるようになりました。
- FIPS モードの SHA-2 アルゴリズム用のダイレクト KAT セルフテストを実装しました。
- openssl dgst -h を実行して利用可能なすべてのダイジェストアルゴリズムを一覧表示するようにするための手順で、マニュアルおよびヘルプページを更新しました。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるopensslパッケージやopenssl-develパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 284469
ファイル名: miracle_linux_AXSA-2012-14.nasl
バージョン: 1.1
タイプ: local
公開日: 2026/1/14
更新日: 2026/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.2
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2011-3207
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:openssl, p-cpe:/a:miracle:linux:openssl-devel, cpe:/o:miracle:linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/1/18
脆弱性公開日: 2011/9/6
参照情報
CVE: CVE-2011-3207