検出

MiracleLinux 3openssl-0.9.8e-12AXS3AXSA:2009-388:03

high Nessus プラグイン ID 284473

Language:

概要

リモート MiracleLinux ホストに 1 つ以上のセキュリティ更新がありません。

説明

リモートの MiracleLinux 3 ホストには、AXSA:2009-388:03 アドバイザリで言及されているように、複数の脆弱性の影響を受けるパッケージがインストールされています。

 OpenSSL ツールキットは、マシン間の安全な通信をサポートします。OpenSSL には、さまざまな暗号アルゴリズムとプロトコルを提供する、証明書管理ツールと共有ライブラリがあります。
 修正済みのセキュリティバグ
 CVE-2009-0590 0.9.8k より前の OpenSSL の ASN1_STRING_print_ex 関数により、リモートの攻撃者が、無効なエンコード長を持つ (1) BMPString または (2) UniversalString の印刷を発生させるベクトルを介して、サービス拒否無効なメモリアクセスおよびアプリケーションクラッシュを引き起こすことが可能です。
 CVE-2009-1377 OpenSSL 0.9.8k およびそれ以前 0.9.8 バージョンの ssl/d1_pkt.c にある dtls1_buffer_record 関数により、リモートの攻撃者は、キューにバッファリングされる一連の将来的な epoch DTLS レコードを介して、サービス拒否メモリ消費を引き起こすことが可能です。別名 DTLS レコードバッファ制限のバグ。
 CVE-2009-1378 OpenSSL 0.9.8k およびそれ以前の 0.9.8 バージョンの ssl/d1_both.c にある dtls1_process_out_of_seq_message 関数の複数のメモリ漏洩により、リモートの攻撃者が、1重複しているまたはには、現在のシーケンス番号よりもはるかに大きなシーケンス番号があります。これは、DTLS フラグメント処理メモリリークとしても知られています。
 CVE-2009-1379 OpenSSL の ssl/d1_both.c における dtls1_retrieve_buffered_fragment 関数にある use-after-free の脆弱性により、Beta 2 により 1.0.0 、リモートの攻撃者が、DTLS パケットを通じて、サービス拒否openssl s_client のクラッシュを引き起こしたり、詳細不明なその他の影響を与えたりする可能性があります。細工されたサーバー証明書を使用するサーバーからのパケットによって引き起こされる可能性があります。
 CVE-2009-1386 0.9.8i より前の OpenSSL の ssl/s3_pkt.c により、リモートの攻撃者が、ClientHello より前に発生する DTLS ChangeCipherSpec パケットを介して、サービス拒否NULL ポインターデリファレンスとデーモンクラッシュを引き起こすことが可能です。
 CVE-2009-13871.0.0 OpenSSLより前の ssl/d1_both.c の dtls1_retrieve_buffered_fragment 関数により、リモートの攻撃者が、フラグメントに関連する、順序が狂った DTLS ハンドシェイクメッセージを介して、サービス拒否NULL ポインターデリファレンスとデーモンクラッシュを引き起こすことが可能です。バグを発見しました。

Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける openssl、openssl-devel および / または openssl-perl パッケージを更新してください。

参考資料

https://tsn.miraclelinux.com/en/node/1026

プラグインの詳細

深刻度: High

ID: 284473

ファイル名: miracle_linux_AXSA-2009-388.nasl

バージョン: 1.1

タイプ: local

公開日: 2026/1/14

更新日: 2026/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

Vendor

Vendor Severity: High

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 4.1

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2009-1387

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:miracle:linux:openssl-devel, p-cpe:/a:miracle:linux:openssl, cpe:/o:miracle:linux:3, p-cpe:/a:miracle:linux:openssl-perl

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2009/9/8

脆弱性公開日: 2009/2/5

エクスプロイト可能

Core Impact

参照情報

CVE: CVE-2009-0590, CVE-2009-1377, CVE-2009-1378, CVE-2009-1379, CVE-2009-1386, CVE-2009-1387