AIX OpenSSL アドバイザリ:openssl_advisory4.asc

high Nessus プラグイン ID 73562
New! プラグインの深刻度には CVSS v3 が適用されるようになりました。

プラグインの深刻度は、デフォルトで CVSS v3 を使って計算されるように更新されました。プラグインに CVSS v3 スコアがない場合には、CVSS v2 を使って深刻度が計算されます。深刻度の表示設定は、[設定]のドロップダウンで切り替えができます。

概要

リモート AIX ホストで、脆弱なバージョンの OpenSSL が実行されています。

説明

リモートホストで実行中の OpenSSL は、次の脆弱性の影響を受けるバージョンです:

- OpenSSL の Cryptographic Message Syntax(CMS)および PKCS #7 の実装が、特定の oracle の動作を適切に制限しておらず、このためにコンテキスト依存の攻撃者が Million Message Attack(MMA)の適応選択型暗号化テキスト攻撃でデータを複合化することが簡単になります。(CVE-2012-0884)

- OpenSSL の crypto/asn1/asn_mime.c の中の mime_param_cmp 関数により、リモートの攻撃者が細工された S/MIME メッセージを介して、サービス拒否(NULL ポインターデリファレンスおよびアプリケーションクラッシュ)を引き起こす可能性があります。これは、CVE-2006-7250 とは異なる脆弱性です。(CVE-2012-1165)

- OpenSSL の crypto/asn1/a_d2i_fp.c の asn1_d2i_read_bio 関数が、整数データを適切に解釈しないため、X.509 証明書または RSA 公開鍵で示されているように、細工された DER データを介して、リモートの攻撃者がバッファオーバーフロー攻撃を実行し、サービス拒否(メモリ破損)を引き起こしたり、詳細不明な他の影響を与えたりする可能性があります。(CVE-2012-2110)

- OpenSSL の crypto/buffer/buffer.c の複数の整数符号エラーにより、X.509 証明書または RSA 公開鍵で示されているように、細工された DER データを介して、リモートの攻撃者がバッファオーバーフロー攻撃を実行し、サービス拒否(メモリ破損)を引き起こしたり、詳細不明な他の影響を与えたりする可能性があります。注:この脆弱性は、 CVE-2012-2110 の修正が不完全なために存在します。(CVE-2012-2131)

- OpenSSL の整数アンダーフローにより、TLS 1.1、TLS 1.2、または DTLS が CBC 暗号化と使われたとき、リモートの攻撃者が、特定の明示的な IV 計算中に適切に処理されない、細工された TLS パケットを通じて、サービス拒否(バッファオーバーリード)を引き起こしたり、詳細不明な他の影響を与えたりする可能性があります。(CVE-2012-2333)

ソリューション

修正は使用することができ、AIX の Web サイトからダウンロードできます。

tar ファイルから修正を抽出する方法:

zcat openssl-0.9.8.1802.tar.Z | tar xvf - または zcat openssl-fips-12.9.8.1802.tar.Z | tar xvf -

重要:可能であれば、システムの mksysb バックアップ作成を推奨します。続行する前に、起動可能であり、読み取り可能であることを検証します。

修正のインストールをプレビューする方法:

installp -apYd . openssl

修正パッケージをインストールする方法:

installp -aXYd . openssl

関連情報

http://aix.software.ibm.com/aix/efixes/security/openssl_advisory4.asc

https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=aixbp

プラグインの詳細

深刻度: High

ID: 73562

ファイル名: aix_openssl_advisory4.nasl

バージョン: 1.10

タイプ: local

ファミリー: AIX Local Security Checks

公開日: 2014/4/16

更新日: 2021/1/4

依存関係: ssh_get_info.nasl

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 6.5

ベクトル: AV:N/AC:L/Au:N/C:P/I:P/A:P

現状ベクトル: E:ND/RL:OF/RC:C

脆弱性情報

CPE: cpe:/o:ibm:aix

必要な KB アイテム: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2012/8/1

脆弱性公開日: 2012/3/12

参照情報

CVE: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131, CVE-2012-2333

BID: 52428, 52764, 53158, 53212, 53476