Debian DSA-2125-1：openssl - バッファオーバーフロー

high Nessus プラグイン ID 50696

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

OpenSSL TLS サーバー拡張コード解析に欠陥が見つかりました。これにより、影響を受けるサーバー上で、バッファオーバーラン攻撃で悪用される可能性があります。
これにより、攻撃者がアプリケーションクラッシュを引き起こし、任意のコードを実行する可能性があります。

ただし、OpenSSL バースの SSL/TLS サーバーがすべて脆弱ではありません：サーバーは、マルチスレッドであり、OpenSSL の内部キャッシュメカニズムを使用する場合に脆弱です。特に、Apache HTTP Server（OpenSSL 内部キャッシングを使用しない）および stunnel（独自の回避策を含む）は影響を受けません。

ソリューション

openssl パッケージをアップグレードしてください。

このアップグレードは、この問題を修正します。アップグレード後、openssl ライブラリを使用するすべてのサービスを再起動する必要があります。debian-goodies パッケージの checkrestart スクリプトまたは Isof により、再起動が必要なサービスを特定できます。

Debian バックポートまたは Debian volatile の tor パッケージのユーザーに対する注意：この openssl の更新により、tor の一部のバージョンに問題が発生します。tor 0.2.1.26-4~bpo50+1 または 0.2.1.26-1~lennyvolatile2 にそれぞれ更新する必要があります。Debian 安定版（stable）の tor パッケージバージョン 0.2.0.35-1~lenny2 は、これらの問題の影響を受けません。

安定版（stable）ディストリビューション（lenny）では、この問題は openssl バージョン 0.9.8g-15+lenny9 で修正されました。