AIX OpenSSL アドバイザリ：openssl_advisory5.asc

medium Nessus プラグイン ID 73563

Language:

概要

リモート AIX ホストで、脆弱なバージョンの OpenSSL が実行されています。

説明

リモートホストで実行中の OpenSSL は、次の脆弱性の影響を受けるバージョンです：

- OpenSSL、OpenJDK、PolarSSL、ならびに他の製品で使用されている TLS プロトコル 1.1 と 1.2 および DTLS プロトコル 1.0 と 1.2 が、無効な形式の CBC パディングの処理中に MAC チェック要件でタイミングサイドチャネル攻撃について適切な配慮をしていません。これにより、リモートの攻撃者が、細工されたパケットのタイミングデータの統計分析により、差別化された攻撃と平文リカバリ攻撃を行う可能性があります。これは、「Lucky Thirteen」の問題としても知られています。（CVE-2013-0169）

- OpenSSL の 0.9.8y より前、1.0.0k より前の 1.0.0、1.0.1d より前の 1.0.1 が、OCSP 応答の署名認証を適切に実行していません。これにより、リモートの攻撃者が、無効なキーでサービス拒否（NULL ポインターデリファレンスとアプリケーションクラッシュ）を引き起こす可能性があります。
（CVE-2013-0166）

ソリューション

修正は使用することができ、AIX の Web サイトからダウンロードできます。

tar ファイルから修正を抽出する方法：

zcat openssl-0.9.8.2500.tar.Z | tar xvf - または zcat openssl-fips-12.9.8.2500.tar.Z | tar xvf -

重要：可能であれば、システムの mksysb バックアップ作成を推奨します。続行する前に、起動可能であり、読み取り可能であることを検証します。

修正のインストールをプレビューする方法：

installp -apYd . openssl

修正パッケージをインストールする方法：

installp -aXYd . openssl