Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の openssl

medium Nessus プラグイン ID 60725
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

CVE-2009-2409 SSL 証明書検証での MD2 を廃止(Kaminsky 氏)

CVE-2009-4355 openssl 特定の SSLv3 リクエストにおける重大なメモリ漏洩(DoS)

OpenSSL ライブラリは CRYPTO_cleanup_all_ex_data() 関数の前回の呼び出し後、SSL_library_init() 関数の内部状態を適切に再初期化せず、これによってその後の SSL 接続それぞれに対してメモリ漏洩が発生することが分かりました。この欠陥によって、 Apache HTTP Server、mod_ssl、PHP、および cURL の組み合わせなどの、リロード中にこれらの関数を呼び出すサーバーアプリケーションが使用可能なメモリを全て消費し、サービス拒否が発生することがあります。(CVE-2009-4355)

Dan Kaminsky 氏は、MD2 がもはや暗号強度の高いアルゴリズムとは見なせなくなった場合ですら、ブラウザが MD2 ハッシュッ署名付きの証明書を承認してしまうことを発見しました。これにより攻撃者は、悪意のある証明書を簡単に作成して、ブラウザにその証明書を信頼できるものとして処理させる場合があります。OpenSSL はデフォルトで、署名内の MD2 アルゴリズムを無効にするようになりました。(CVE-2009-2409)

更新を有効にするには、 OpenSSL ライブラリにリンクされているすべてのサービスを再起動するか、システムを再起動する必要があります。

ソリューション

影響を受ける openssl、openssl-devel および / または openssl-perl パッケージを更新してください。

関連情報

http://www.nessus.org/u?802f5323

プラグインの詳細

深刻度: Medium

ID: 60725

ファイル名: sl_20100119_openssl_on_SL5_x.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2012/8/1

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

Base Score: 5.1

ベクトル: AV:N/AC:H/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2010/1/19

参照情報

CVE: CVE-2009-2409, CVE-2009-4355

CWE: 310, 399