Oracle Linux 5：gnutls（ELSA-2014-0247）

medium Nessus プラグイン ID 72792

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2014:0247 から：

2 つのセキュリティ上の問題を修正する更新済みの gnutls パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

GnuTLS ライブラリは、暗号アルゴリズムおよび Transport Layer Security（TLS）のようなプロトコルのサポートを提供します。

X.509 証明書の検証中に発生する可能性のある特定のエラーを GnuTLS が適切に処理していないことが、発見されました。これにより、正常な検証が間違って報告されていました。攻撃者が、この欠陥を利用して、特別に細工された証明書を作成する可能性があり、 GnuTLS が攻撃者が選択するサイトを有効として受理する可能性があります。（CVE-2014-0092）

GnuTLS がバージョン 1 の X.509 証明書を処理する過程に、欠陥が見つかりました。信頼される認証局からバージョン 1 の証明書を入手できる攻撃者が、この欠陥を利用して、GnuTLS が有効として受理するような他のサイトの証明書を発行する可能性があります。（CVE-2009-5138）

CVE-2014-0092 の問題が、Red Hat セキュリティ技術チームの Nikos Mavrogiannopoulos 氏により発見されました。

GnuTLS のユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。更新した内容を反映させるには、GnuTLS ライブラリにリンクされているすべてのアプリケーションを再起動する必要があります。