Oracle Linux 3:openssl(ELSA-2006-0695)

critical Nessus プラグイン ID 67411
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2006:0695 から:

いくつかのセキュリティ問題を修正する、更新済みの OpenSSL パッケージが現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新に重大なセキュリティインパクトがあると評価しています。

OpenSSL ツールキットは、マシン間の安全な通信をサポートします。OpenSSL には、さまざまな暗号アルゴリズムとプロトコルを提供する、証明書管理ツールと共有ライブラリがあります。

Google セキュリティチームの Tavis Ormandy 氏と Will Drewry 氏は、 SSL_get_shared_ciphers() ユーティリティ関数にバッファオーバーフローを発見しました。攻撃者が、この関数を使用したアプリケーションに暗号のリストを送信し、バッファをオーバーランさせる可能性があります(CVE-2006-3738)。この脆弱な関数を使用しているアプリケーションはほとんどなく、一般にこの関数はデバッグのためにアプリケーションをコンパイルする時にのみ使用されます。

Google セキュリティチームの Tavis Ormandy 氏および Will Drewry 氏は、 SSLv2 クライアントコードに欠陥を発見しました。クライアントアプリケーションが OpenSSL を使用して悪意のあるサーバーに対してSSLv2 接続を作成すると、当該のサーバーがクライアントをクラッシュさせる可能性があります。(CVE-2006-4343)

OpenSSL コアチームの S. N. Henson 博士および Open Network Security は、サービス拒否の脆弱性を明らかにする、NISCC(www.niscc.gov.uk)用の ASN 1 テストパッケージを最近開発しました:

* 特定の公開鍵のタイプが、不均衡な処理時間を必要とすることがあり、サービス拒否が発生する可能性があります。(CVE-2006-2940)

* 特定の無効な ASN.1 構造の解析中に、エラー状態が不適切に処理されていました。その結果、システムメモリを消費する無限ループが発生する可能性があります(CVE-2006-2937)。この問題は、Red Hat Enterprise Linux 2.1 で配布される OpenSSL バージョンのには影響を与えません。

これらの脆弱性は、OpenSSL を使用して信頼できないソースからの ASN.1 データを解析するアプリケーションに影響を与えることがあります。これにはクライアント認証と S/MIME アプリケーションを有効化するSSL サーバーが含まれます。

ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージにアップグレードし、これらの問題を解決することが推奨されます。

注:この更新をインストールした後、ユーザーは OpenSSL を使用するすべてのサービスを再起動するか、システムを再起動することをお勧めします。

ソリューション

影響を受ける openssl パッケージを更新してください。

関連情報

https://oss.oracle.com/pipermail/el-errata/2007-March/000085.html

プラグインの詳細

深刻度: Critical

ID: 67411

ファイル名: oraclelinux_ELSA-2006-0695.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2013/7/12

更新日: 2021/1/14

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Critical

Base Score: 10

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:openssl, p-cpe:/a:oracle:linux:openssl-devel, p-cpe:/a:oracle:linux:openssl-perl, p-cpe:/a:oracle:linux:openssl096b, cpe:/o:oracle:linux:3

必要な KB アイテム: Host/local_checks_enabled, Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2007/3/23

脆弱性公開日: 2006/9/28

参照情報

CVE: CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4343

RHSA: 2006:0695

CWE: 119, 399