Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の openssl
medium Nessus プラグイン ID 60725
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
CVE-2009-2409 SSL 証明書検証での MD2 を廃止(Kaminsky 氏)CVE-2009-4355 openssl 特定の SSLv3 リクエストにおける重大なメモリ漏洩(DoS)
OpenSSL ライブラリは CRYPTO_cleanup_all_ex_data() 関数の前回の呼び出し後、SSL_library_init() 関数の内部状態を適切に再初期化せず、これによってその後の SSL 接続それぞれに対してメモリ漏洩が発生することが分かりました。この欠陥によって、 Apache HTTP Server、mod_ssl、PHP、および cURL の組み合わせなどの、リロード中にこれらの関数を呼び出すサーバーアプリケーションが使用可能なメモリを全て消費し、サービス拒否が発生することがあります。(CVE-2009-4355)
Dan Kaminsky 氏は、MD2 がもはや暗号強度の高いアルゴリズムとは見なせなくなった場合ですら、ブラウザが MD2 ハッシュッ署名付きの証明書を承認してしまうことを発見しました。これにより攻撃者は、悪意のある証明書を簡単に作成して、ブラウザにその証明書を信頼できるものとして処理させる場合があります。OpenSSL はデフォルトで、署名内の MD2 アルゴリズムを無効にするようになりました。(CVE-2009-2409)
更新を有効にするには、 OpenSSL ライブラリにリンクされているすべてのサービスを再起動するか、システムを再起動する必要があります。
ソリューション
影響を受ける openssl、openssl-devel および / または openssl-perl パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 60725
ファイル名: sl_20100119_openssl_on_SL5_x.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
公開日: 2012/8/1
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
Base Score: 5.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2010/1/19
参照情報
CVE: CVE-2009-2409, CVE-2009-4355