MiracleLinux 4openssl-1.0.1e-48.1.0.1.AXS4AXSA:2016-460:03
critical Nessus プラグイン ID 289114
Language:
概要
リモートのMiracleLinuxホストに1つ以上のセキュリティ更新プログラムがありません。説明
リモートのMiracleLinux 4ホストには、AXSA:2016-460:03アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。OpenSSL ツールキットは、マシン間の安全な通信をサポートします。OpenSSL には、さまざまな暗号アルゴリズムとプロトコルを提供する、証明書管理ツールと共有ライブラリがあります。
このリリースで修正されたセキュリティ問題
CVE-2016-07991.0.11.0.1sより前の および 1.0.2g より前の の OpenSSL の crypto/bio/b_print.c の fmtstr 関数が、文字列の長さを不適切に計算します。これにより、リモートの攻撃者が 1.0.2 、サービス拒否オーバーフローおよび out-of-overflow大量の ASN.1 データで実証されているように、長い文字列を通じて詳細不明な他の影響を与える可能性があります。これは とは別の脆弱性です CVE-2016-2842。
CVE-2016-2105 1.0.1t より前、および 1.0.2 1.0.2h より前の の OpenSSL の crypto/evp/encode.c の EVP_EncodeUpdate 関数における整数オーバーフローにより、リモートの攻撃者が、大量のバイナリデータを通じて、サービス拒否ヒープメモリ破損を引き起こすことが可能です。 。
CVE-2016-2106 1.0.1t より前、および 1.0.2 1.0.2h より前の の OpenSSL の crypto/evp/evp_enc.c の EVP_EncryptUpdate 関数における整数オーバーフローにより、リモートの攻撃者が、大量のデータを通じて、サービス拒否ヒープメモリ破損を引き起こすことが可能です。
CVE-2016-2107 1.0.1t より前の OpenSSL および 1.0.2h より前の 1.0.2 OpenSSL の AES-NI 実装は、特定のパディングチェック中に、メモリ割り当てを考慮しません。これにより、リモートの攻撃者が、AES CBC に対するパディングオラクル攻撃を通じて平文の機密情報を入手することが可能です。セッション、注この脆弱性が存在するのは、 の修正が正しくないためです CVE-2013-0169。
CVE-2016-2108 1.0.1o より前の OpenSSL および 1.0.2 1.0.2c より前の の OpenSSL の ASN.1 実装により、リモートの攻撃者が、細工されたシリアル化データの ANY フィールドを介して、任意のコードを実行したり、サービス拒否バッファアンダーフローとメモリ破損を引き起こすことが可能です。これは、別名マイナスゼロの問題。
CVE-2016-2109 1.0.1t より前の OpenSSL および 1.0.2h より前の 1.0.2 OpenSSL における ASN.1 BIO 実装の crypto/asn1/a_d2i_fp.c にある asn1_d2i_read_bio 関数により、リモートの攻撃者は短い無効な URI を介してサービス拒否メモリ消費を引き起こすことができますエンコーディング。
CVE-2016-28421.0.1 OpenSSL 1.0.1s より前の 、および 1.0.2g より前の の OpenSSL における crypto/bio/b_print.c の doapr_outch 関数が、特定のメモリ割り当ての成功を検証していません。これにより、リモートの攻撃者がサービス拒否アウト を引き起こす可能性があります 1.0.2 。領域外書き込みまたはメモリ消費を引き起こす可能性があります。または、長い文字列を介して詳細不明な他の影響を与える可能性があります。これは、大量の ASN.1 データで実証されています。これは とは CVE-2016-0799別の脆弱性です。
Tenableは、前述の記述ブロックをMiracleLinuxセキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるopensslパッケージやopenssl-develパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 289114
ファイル名: miracle_linux_AXSA-2016-460.nasl
バージョン: 1.2
タイプ: local
公開日: 2026/1/16
更新日: 2026/1/17
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
Vendor
Vendor Severity: High
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2016-2842
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:miracle:linux:openssl, p-cpe:/a:miracle:linux:openssl-devel, cpe:/o:miracle:linux:4
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2016/5/29
脆弱性公開日: 2013/2/4
参照情報
CVE: CVE-2013-0169, CVE-2016-0799, CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109, CVE-2016-2842
IAVB: 2016-B-0083-S, 2016-B-0160-S