Debian DSA-2141-1：openssl - SSL/TLS の安全でない再ネゴシエーションプロトコルのデザイン欠陥

medium Nessus プラグイン ID 51440

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

DSA-2141は3つの個別の部分から構成されていて、これらはメーリングリストアーカイブで確認できます：DSA 2141-1（openssl）、DSA 2141-2（nss）、DSA 2141-3（apache2）、およびDSA 2141-4（lighttpd）。このページは、最初の部分 openssl だけをカバーしています。

- CVE-2009-3555 Marsh Ray 氏、Steve Dispensa 氏、Martin Rex 氏は TLS および SSLv3 プロトコルに欠陥を発見しました。TLS 接続の開始時に、攻撃者が中間者攻撃を実行できる場合、その攻撃者はユーザーのセッションの最初に任意のコンテンツを注入することができます。この更新は新しい RFC5746 の再ネゴシエーション拡張のバックポートされているサポートを追加します。これにより、この問題が修正されます。

openssl がサーバーアプリケーションで使用されると、RFC5746 セキュア再ネゴシエーション拡張をサポートしないクライアントからの再ネゴシエーションを、デフォルトで受け入れません。別のアドバイザリが、iceweasel Web ブラウザで使用されるセキュリティライブラリである nss の RFC5746 サポートを追加します。apache2 では、安全でない再ネゴシエーションが再度有効化可能な更新があります。

openssl のこのバージョンは、tor の古いバージョンと互換性がありません。少なくとも 0.2.1.26-1~lenny+1 のバージョンの tor を使用する必要があります。Debian 安定版（stable）のポイントリリース 5.0.7 に含まれています。

現在、弊社では類似する互換性の問題がある他のソフトウェアについて認識していません。

- CVE-2010-4180 さらに、この更新は欠陥を修正します。この欠陥により、使用されている暗号化パッケージのサーバーで構成された制限を、クライアントがバイパスする可能性がありました。