Debian DSA-2950-1：openssl - セキュリティ更新

high Nessus プラグイン ID 74337

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

OpenSSL に次の複数の脆弱性が発見されました：

- CVE-2014-0195 Jueri Aedla 氏は、DTLS フラグメントの処理のバッファオーバーフローが、任意のコードの実行やサービス拒否につながる可能性があることを発見しました。

- CVE-2014-0221 Imre Rad 氏は、DTLS hello パケットの処理がサービス拒否に対して脆弱であることを発見しました。

- CVE-2014-0224 KIKUCHI Masashi 氏は、注意深く細工されたハンドシェイクが、弱い鍵の使用を強制し、潜在的な中間者攻撃を引き起こす可能性があることを発見しました。

- CVE-2014-3470 Felix Groebert 氏および Ivan Fratric 氏は、匿名の ECDH 暗号スイートの実装がサービス拒否に対して脆弱であることを発見しました。

詳細については、http://www.openssl.org/news/secadv/20140605.txt を参照してください。

ソリューション

openssl パッケージをアップグレードしてください。

安定版（stable）ディストリビューション（wheezy）では、これらの問題はバージョン 1.0.1e-2+deb7u10 で修正されています。openssl にリンクされているアプリケーションはすべて再起動する必要があります。影響を受けるプログラムの検出やシステムの再起動を行うには、パッケージ debian-goodies のツール checkrestart を使用できます。
また、後ほど Linux カーネルのセキュリティ更新があるため（CVE-2014-3153）、いずれにしても再起動が必要です。ちょうど良いタイミングですね。