AIX OpenSSL アドバイザリ：openssl_advisory9.doc

medium Nessus プラグイン ID 74512

Language:

概要

リモートの AIX ホストに、複数の脆弱性の影響を受ける可能性のあるバージョンの OpenSSL がインストールされています。

説明

リモートホストにインストールされている OpenSSL のバージョンは、以下のリモートコード実行およびサービス拒否の脆弱性による影響を受ける可能性があります：

- OpenSSL では、無効な DTLS フラグメントを OpenSSL DTLS クライアントまたはサーバーに送信する際に、攻撃者がバッファオーバーラン状態を引き起こし、これによって脆弱なクライアントまたはサーバー上で任意のコードが実行される可能性があります。（CVE-2014-0195）

- 攻撃者は NULL ポインターデリファレンスを通じて do_ssl3_write 関数の欠陥を悪用することで、サービス拒否を引き起こす可能性があります。注：1.0.1.500 から 1.0.1.510 までのバージョンのみが脆弱です。（CVE-2014-0198）

- 攻撃者は無効な DTLS ハンドシェイクを OpenSSL DTLS クライアントに送信することでサービス拒否を引き起こし、再帰的コード実行、および最終的にはクラッシュを発生させる可能性があります。（CVE-2014-0221）

- 攻撃者は中間者攻撃（MITM）を利用し、OpenSSL SSL/TLS クライアントおよびサーバーにおいて弱い鍵素材の使用を強制する可能性があります。攻撃者は、攻撃を受けたクライアントおよびサーバーからのトラフィックを復号化し、改ざんする可能性があります。
脆弱なクライアントおよびサーバー間でのみ、この攻撃を実行できます。（CVE-2014-0224）

攻撃者は OpenSSL クライアント内に存在する OpenSSL の匿名 ECDH 暗号化パッケージを悪用し、サービス拒否を引き起こす可能性があります。（CVE-2014-3470）

ソリューション

修正は入手でき、AIX の Web サイトからダウンロードできます。

tar ファイルから修正を抽出する方法：

- OpenSSL 1.0.1 バージョン：
zcat openssl-1.0.1.511.tar.Z | tar xvf -

- OpenSSL 0.9.8 バージョン：
zcat openssl-0.9.8.2502.tar.Z | tar xvf -

- OpenSSL 12.9.8 バージョン：
zcat openssl-12.9.8.2502.tar.Z | tar xvf

重要：可能であれば、システムの mksysb バックアップ作成を推奨します。続行する前に、起動可能であり、読み取り可能であることを検証します。

修正のインストールをプレビューする方法：

installp -apYd . openssl

修正パッケージをインストールする方法：

installp -aXYd . openssl