RHEL 6 : openssl (RHSA-2011:0677)

critical Nessus プラグイン ID 54599

概要

リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。

説明

リモート Redhat Enterprise Linux 6 ホストに、RHSA-2011:0677 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

OpenSSL は、Secure Sockets Layer (SSL v2/v3) および Transport Layer Security (TLS v1) プロトコル、ならびに全強度の汎用暗号化ライブラリを実装するツールキットです。

OpenSSL が ClientHello TLS ハンドシェイクメッセージの中の証明書状態リクエスト TLS 拡張を解析する方法で、バッファオーバーリードの欠陥が発見されました。リモートの攻撃者が、この欠陥を利用して、影響を受けている OpenSSL の機能性を使用する SSL サーバーをクラッシュさせる可能性があります。(CVE-2011-0014)

この更新は次のバグを修正します:

* 「openssl speed」コマンド (アルゴリズムのスピード測定を提供) は、openssl が FIPS (Federal Information Processing Standards) モードで実行されると、FIPS 承認済みアルゴリズムのテストが要求されても失敗します。
FIPS モードは、NIST(アメリカ国立標準技術研究所)規格により承認されない、暗号および暗号ハッシュアルゴリズムを無効にします。この更新により、「openssl speed」コマンドが失敗しなくなりました。
(BZ#619762)

* 「openssl pkcs12 -export」コマンドは、FIPS モードでの PKCS#12 ファイルをエクスポートできませんでした。PKCS#12 ファイルの証明書を暗号化するためのデフォルトのアルゴリズムは、FIPS の承認がなく、それため機能しませんでした。現在、このコマンドは、FIPS モードにおいてデフォルトで FIPS の承認済みアルゴリズムを使用します。(BZ#673453)

この更新により、次の拡張機能も追加されます:

* 「openssl s_server」コマンドは、以前は IPv4 での接続しか受け入れませんでしたが、現在は IPv6 での接続も受け入れます。(BZ#601612)

* 特定のメンテナンスコマンド (「rsync」など) の実行を許可する目的で、「OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW」環境変数が追加されています。システムが FIPS モードに対して設定され、メンテナンス状態な場合、この新しく追加された環境変数は、ハッシュアルゴリズムがFIPS-140-2標準に承認されていない場合でも、MD5 暗号化ハッシュアルゴリズムの使用が必要なソフトウェアを起動することができます。(BZ#673071)

OpenSSL のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を解決し、これらの拡張機能を追加することが推奨されます。更新を有効にするには、OpenSSL ライブラリにリンクされているすべてのサービスを再起動するか、システムを再起動する必要があります。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?f6f8a6d1

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=601612

https://bugzilla.redhat.com/show_bug.cgi?id=619762

https://bugzilla.redhat.com/show_bug.cgi?id=676063

https://access.redhat.com/errata/RHSA-2011:0677

プラグインの詳細

深刻度: Critical

ID: 54599

ファイル名: redhat-RHSA-2011-0677.nasl

バージョン: 1.21

タイプ: local

エージェント: unix

公開日: 2011/5/20

更新日: 2025/3/20

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS スコアのソース: CVE-2011-0014

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:openssl-devel, p-cpe:/a:redhat:enterprise_linux:openssl-static, p-cpe:/a:redhat:enterprise_linux:openssl, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:openssl-perl

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/5/19

脆弱性公開日: 2011/2/18

参照情報

CVE: CVE-2011-0014

BID: 46264

RHSA: 2011:0677