検出

RHEL 6:openssl(RHSA-2011: 0677)

medium Nessus プラグイン ID 54599

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

1 件のセキュリティ問題と 2 つのバグを修正し、2 つの拡張機能を追加する更新済みの openss パッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。

Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示すCommon Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションのCVEリンクで確認できます。

OpenSSL は、Secure Sockets Layer(SSL v2/v3)および Transport Layer Security (TLS v1)プロトコル、ならびに全強度の汎用暗号化ライブラリを実装するツールキットです。

OpenSSL が ClientHello TLS ハンドシェイクメッセージの中の証明書状態リクエスト TLS 拡張を解析する方法で、バッファオーバーリードの欠陥が発見されました。リモートの攻撃者が、この欠陥を利用して、影響を受けているOpenSSLの機能性を使用するSSLサーバーをクラッシュさせる可能性があります。(CVE-2011-0014)

この更新は次のバグを修正します :

* 「openssl speed」コマンド(アルゴリズムのスピード測定を提供)は、openssl が FIPS(Federal Information Processing Standards)モードで実行されると、FIPS 承認済みアルゴリズムのテストが要求されても失敗します。FIPS モードは、NIST(アメリカ国立標準技術研究所)規格により承認されない、暗号および暗号ハッシュアルゴリズムを無効にします。この更新により、「openssl speed」コマンドが失敗しなくなりました。(BZ#619762)

* 「openssl pkcs12 -export」コマンドは、FIPS モードでの PKCS#12 ファイルをエクスポートできませんでした。PKCS#12 ファイルの証明書を暗号化するためのデフォルトのアルゴリズムは、FIPS の承認がなく、それため機能しませんでした。現在、このコマンドは、FIPS モードにおいてデフォルトで FIPS の承認済みアルゴリズムを使用します。
(BZ#673453)

この更新により、次の拡張機能も追加されます:

* 「openssl s_server」コマンドは、以前は IPv4 での接続しか受け入れませんでしたが、現在は IPv6 での接続も受け入れます。
(BZ#601612)

* 特定のメンテナンスコマンド(「rsync」など)の実行を許可する目的で、「OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW」環境変数が追加されています。システムがFIPS モードに対して設定され、メンテナンス状態な場合、この新しく追加された環境変数は、ハッシュアルゴリズムがFIPS-140-2標準に承認されていない場合でも、MD5 暗号化ハッシュアルゴリズムの使用が必要なソフトウェアを起動することができます。(BZ#673071)

OpenSSL のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を解決し、これらの拡張機能を追加することが推奨されます。更新を有効にするには、OpenSSLライブラリにリンクされているすべてのサービスを再起動するか、システムを再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2011-0014

https://access.redhat.com/errata/RHSA-2011:0677

プラグインの詳細

深刻度: Medium

ID: 54599

ファイル名: redhat-RHSA-2011-0677.nasl

バージョン: 1.20

タイプ: local

エージェント: unix

公開日: 2011/5/20

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:openssl, p-cpe:/a:redhat:enterprise_linux:openssl-debuginfo, p-cpe:/a:redhat:enterprise_linux:openssl-devel, p-cpe:/a:redhat:enterprise_linux:openssl-perl, p-cpe:/a:redhat:enterprise_linux:openssl-static, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/5/19

脆弱性公開日: 2011/2/18

参照情報

CVE: CVE-2011-0014

BID: 46264

RHSA: 2011:0677