Scientific Linux セキュリティ更新：SL6.x i386/x86_64 の openssl

medium Nessus プラグイン ID 61043

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

OpenSSL は、Secure Sockets Layer（SSL v2/v3）および Transport Layer Security （TLS v1）プロトコル、ならびに全強度の汎用暗号化ライブラリを実装するツールキットです。

OpenSSL が ClientHello TLS ハンドシェイクメッセージの中の証明書状態リクエスト TLS 拡張を解析する方法で、バッファオーバーリードの欠陥が発見されました。リモートの攻撃者が、この欠陥を利用して、影響を受けている OpenSSL の機能性を使用する SSL サーバーをクラッシュさせる可能性があります。（CVE-2011-0014）

この更新は次のバグを修正します :

- 「openssl speed」コマンド（アルゴリズム速度の測定を提供）は、openssl が FIPS（Federal Information Processing Standards）モードで実行されると、FIPS 承認済みアルゴリズムのテストが要求されても失敗します。FIPS モードは、NIST（アメリカ国立標準技術研究所）規格により承認されない、暗号および暗号ハッシュアルゴリズムを無効にします。この更新により、「openssl speed」コマンドが失敗しなくなりました。（BZ#619762）

- 「openssl pkcs12 -export」は、FIPS モードでの PKCS#12 ファイルをエクスポートできませんでした。PKCS#12 ファイルの証明書を暗号化するためのデフォルトのアルゴリズムは、FIPS の承認がなく、それため機能しませんでした。現在、このコマンドは、FIPS モードにおいてデフォルトで FIPS の承認済みアルゴリズムを使用します。
（BZ#673453）

この更新により、次の拡張機能も追加されます：

- 「openssl s_server」コマンドは、以前は IPv4 での接続しか受け入れませんでしたが、現在は IPv6 での接続も受け入れます。（BZ#601612）

- 特定のメンテナンスコマンド（「rsync」など）の実行を許可する目的で、「OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW」環境変数が追加されています。システムがFIPS モードに対して設定され、メンテナンス状態な場合、この新しく追加された環境変数は、ハッシュアルゴリズムがFIPS-140-2 標準に承認されていない場合でも、MD5 暗号化ハッシュアルゴリズムの使用が必要なソフトウェアを起動することができます。（BZ#673071）

OpenSSL のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を解決し、これらの拡張機能を追加することが推奨されます。更新を有効にするには、 OpenSSL ライブラリにリンクされているすべてのサービスを再起動するか、システムを再起動する必要があります。