Ubuntu 7.04 / 7.10 / 8.04 LTS:openssl の脆弱性(USN-612-1)
high Nessus プラグイン ID 65108
Language:
概要
リモート Ubuntu ホストにセキュリティ関連パッチがありません。説明
Debian および Ubuntu システム上の OpenSSL で使用される乱数発生器に、脆弱性が見つかりました。この脆弱性の結果、特定の暗号化キーが不適切に一般化し、これによって攻撃者は、システムに関する最小限の情報を得ることでブルートフォース攻撃を介してキーを推測できる可能性があります。これは、OpenSSH、OpenVPN および SSL 証明書の暗号化キーを使用する場合に、特に影響を与えます。この脆弱性は、Debian ベースのオペレーティングシステム(Ubuntu など)にのみ影響を与えます。ただしその他のシステムは、脆弱なキーがインポートされることで間接的に影響を受ける可能性があります。
この非常に深刻な脆弱性を考慮し、ユーザーは速やかな措置を取り、システムを保護する必要があります。(CVE-2008-0166)
== 影響範囲 ==
次のリリースのいずれかを実行しているシステム:
* Ubuntu 7.04(Feisty)* Ubuntu 7.10(Gutsy)* Ubuntu 8.04 LTS(Hardy)
* Ubuntu「Intrepid Ibex」(開発):libssl <= 0.9.8g-8 * Debian 4.0(etch)(対応する Debian セキュリティアドバイザリを参照してください)
および、openssh-server をインストールしている、または OpenSSH 鍵または X.509(SSL)証明書を作成するために使用されていた。
これらのシステム上で生成されたすべての OpenSSH および X.509 鍵は、それが使用されているシステムにかかわらず、また更新が適用された後であっても、信頼できないと判断されなければなりません。
これには、OpenSSH によって使用される自動生成されたホストキーが含まれます。これは、サーバーのなりすましや中間者保護のベースになります。
ソリューション
影響を受ける libssl0.9.8 パッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 65108
ファイル名: ubuntu_USN-612-1.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2013/3/9
更新日: 2021/1/19
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.1
CVSS v2
リスクファクター: High
基本値: 7.8
現状値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:libssl0.9.8, cpe:/o:canonical:ubuntu_linux:7.04, cpe:/o:canonical:ubuntu_linux:8.04:-:lts, cpe:/o:canonical:ubuntu_linux:7.10
必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2008/5/13
エクスプロイト可能
Core Impact
参照情報
CVE: CVE-2008-0166
BID: 29179