Mandriva Linux セキュリティアドバイザリ:openssl(MDVSA-2010:076-1)
critical Nessus プラグイン ID 45563
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
この更新は、openssl のいくつかのセキュリティ問題を修正します。- OpenSSL 0.9.8f から 0.9.8m までの ssl/s3_pkt.c の ssl3_get_record 関数により、リモートの攻撃者は、TLS 接続における無効な形式のレコードを使用して、サービス拒否(クラッシュ)を引き起こす可能性があります(CVE-2010-0740)。
- 0.9.8m より前の OpenSSL は bn_wexpand 関数呼び出しからの NULL 戻り値をチェックしないため、詳細不明な影響とコンテキスト依存攻撃ベクトルが存在します(CVE-2009-3245)。
- 0.9.8n より前の OpenSSL の ssl/kssl.c における kssl_keytab_is_available 関数により、Kerberos が有効化されていながら Kerberos 構成ファイルを開くことができない時、リモートの攻撃者はサービス拒否(NULL ポインターデリファレンスおよびデーモンクラッシュ)を引き起こす可能性があります(CVE-2010-0433)。
- 最後に、この更新は安全な再ネゴシエーションのサポートを提供し、中間者攻撃を防止します(CVE-2009-3555)。
これらの製品の拡張メンテナンスプログラムにより、2008.0 および 2009.0 のパッケージが提供されています。
更新:
拡張メンテナンスプログラムにより、2009.0 のパッケージが提供されています。
ソリューション
影響を受けるパッケージを更新してください。プラグインの詳細
深刻度: Critical
ID: 45563
ファイル名: mandriva_MDVSA-2010-076.nasl
バージョン: 1.19
タイプ: local
公開日: 2010/4/19
更新日: 2021/1/6
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:lib64openssl0.9.8, p-cpe:/a:mandriva:linux:lib64openssl0.9.8-devel, p-cpe:/a:mandriva:linux:lib64openssl0.9.8-static-devel, p-cpe:/a:mandriva:linux:libopenssl0.9.8, p-cpe:/a:mandriva:linux:libopenssl0.9.8-devel, p-cpe:/a:mandriva:linux:libopenssl0.9.8-static-devel, p-cpe:/a:mandriva:linux:openssl, cpe:/o:mandriva:linux:2009.0
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2010/4/19
参照情報
CVE: CVE-2009-3245, CVE-2009-3555, CVE-2010-0433, CVE-2010-0740