Mandriva Linux セキュリティアドバイザリ:openssl(MDVSA-2012:007)
high Nessus プラグイン ID 61942
言語:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
openssl で複数のの脆弱性が見つかり、修正されています:0.9.8s より前および 1.0.0f より前の 1.x の OpenSSL での DTLS 実装は、特定のパディングが有効な場合のみ、 MAC チェックを実行します。このため、リモートの攻撃者が、パディングオラクル攻撃により、平文の復元を容易に行えます(CVE-2011-4108)。
X509_V_FLAG_POLICY_CHECK が有効な場合、 0.9.8s より前の OpenSSL 0.9.8 に二重解放の脆弱性があるため、リモートの攻撃者が、ポリシーチェックの失敗を発生させ、特定されない影響を及ぼすことが可能です(CVE-2011-4109)。
0.9.8s より前と 1.0.0f より前の 1.x の OpenSSL の SSL 3.0 実装は、ブロック暗号パディングのデータ構造の初期化を適切に実行しません。そのため、リモートの攻撃者が、SSL ピアにより送信されたパディングデータを復号化し機密情報を取得することが可能です(CVE-2011-4576)。
0.9.8s より前と 1.0.0f より前の 1.x の OpenSSL の Server Gated Cryptography(SGC)実装が、ハンドシェイク再起動を適切に処理しません。このため、リモートの攻撃者が、不特定のベクタでサービス拒否を引き起こすことが可能です(CVE-2011-4619)。
1.0.0f より前の OpenSSL にある GOST ENGINE が、GOST ブロック暗号の無効なパラメーターを適切に処理しません。これにより、リモートの攻撃者が、TLS クライアントから細工されたデータを介してサービス拒否(デーモンクラッシュ)を引き起こすことができます(CVE-2012-0027)。
更新パッケージには、これらの問題を修正するため、パッチが適用されています。
ソリューション
影響を受けるパッケージを更新してください。関連情報
プラグインの詳細
深刻度: High
ID: 61942
ファイル名: mandriva_MDVSA-2012-007.nasl
バージョン: 1.9
タイプ: local
公開日: 2012/9/6
更新日: 2021/1/6
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
Base Score: 9.3
Temporal Score: 8.1
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:lib64openssl-devel, p-cpe:/a:mandriva:linux:lib64openssl-engines1.0.0, p-cpe:/a:mandriva:linux:lib64openssl-static-devel, p-cpe:/a:mandriva:linux:lib64openssl1.0.0, p-cpe:/a:mandriva:linux:libopenssl-devel, p-cpe:/a:mandriva:linux:libopenssl-engines1.0.0, p-cpe:/a:mandriva:linux:libopenssl-static-devel, p-cpe:/a:mandriva:linux:libopenssl1.0.0, p-cpe:/a:mandriva:linux:openssl, cpe:/o:mandriva:linux:2011
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2012/1/16
参照情報
CVE: CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4619, CVE-2012-0027
BID: 51281
MDVSA: 2012:007