Amazon Linux AMI:openssl(ALAS-2013-171)
medium Nessus プラグイン ID 69730
Language:
概要
リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。説明
CBC-モード暗号化パッケージを使用した場合、TLS/SSL および DTLS プロトコル暗号化レコードを復号する時に、OpenSSL がタイミング情報を漏洩することがわかりました。リモートの攻撃者がこの欠陥を利用して、TLS/SSL または DTLS サーバーをパディングオラクルとして使用することで、暗号化パケットから平文を取得する可能性があります。(CVE-2013-0169)OpenSSL における OCSP 応答検証に、NULL ポインターデリファレンスの欠陥が見つかりました。悪意のある OCSP サーバーはこの欠陥を利用して特別に細工されたレスポンスを送信することで、OCSP 検証を行うアプリケーションをクラッシュさせる可能性があります。(CVE-2013-0166)
オプションの圧縮が使用された際、TLS/SSL プロトコルが平文に関する情報を漏洩する可能性があることがわかりました。攻撃者が、暗号化された TLS/SSL 接続で送信される平文の一部をコントロールできた場合、この欠陥を利用して、平文のその他の部分を復元できる可能性があります。(CVE-2012-4929)
注:この更新は、OpenSSL で以前にデフォルトで有効化されていた zlib 圧縮を無効化しています。OpenSSL を使用するアプリケーションは、zlib 圧縮を明示的に有効化する必要があります。
ソリューション
「yum update openssl」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 69730
ファイル名: ala_ALAS-2013-171.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
公開日: 2013/9/4
更新日: 2022/12/5
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.9
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:amazon:linux:openssl, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-perl, p-cpe:/a:amazon:linux:openssl-static, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2013/3/14