Oracle Linux 5 / 6：openssl097a / openssl098e（ELSA-2014-0626）

high Nessus プラグイン ID 74345

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2014:0626 から：

1 つのセキュリティの問題を修正する更新済みの openssl097a パッケージおよび openssl098e パッケージが、 Red Hat Enterprise Linux 5 と 6 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新には重大なセキュリティ上の影響があると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System（CVSS）ベーススコアは「参照」セクションの CVE リンクで入手できます。

OpenSSL は、Secure Sockets Layer（SSL v2/v3）および Transport Layer Security （TLS v1）プロトコル、ならびに全強度の汎用暗号化ライブラリを実装するツールキットです。

OpenSSL クライアントとサーバーが、特別に細工されたハンドシェイクパケットを介して、通信に弱い鍵素材を使用するように強いられる可能性があることがわかりました。中間者攻撃者はこの欠陥を利用して、クライアントとサーバーの間のトラフィックを復号化および変更する可能性があります。
（CVE-2014-0224）

注：この欠陥を悪用するには、サーバーとクライアントの両方が脆弱なバージョンの OpenSSL を使用している必要があります。また、サーバーは OpenSSL 1.0.1 以降、クライアントは任意のバージョンの OpenSSL を使用している必要があります。この欠陥の詳細については、次を参照してください：https://access.redhat.com/site/articles/904433

Red Hat は、この問題を報告してくれた OpenSSL プロジェクトに感謝の意を表します。Upstream は、Lepidum のキクチ・マサシ氏をこの問題の最初の報告者として承認しています。

OpenSSL の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、この問題を修正することが推奨されます。この更新を有効にするには、OpenSSL ライブラリにリンクされているすべてのサービス（httpd およびその他の SSL が有効なサービスなど）を再起動するか、システムを再起動する必要があります。