Debian DSA-2998-1:openssl - セキュリティ更新

high Nessus プラグイン ID 77035

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

複数の脆弱性が、Secure Sockets Layer ツールキットである OpenSSL で識別されました。これにより、サービス拒否(アプリケーションクラッシュ、多量のメモリ消費)、情報漏洩、プロトコルダウングレードが発生することがあります。さらに、SRP に対して明示的にセットアップされるアプリケーションだけに影響するバッファオーバーランが、修正されました(CVE-2014-3512)。

この脆弱性についての詳細な説明は以下を参照してください。
www.openssl.org/news/secadv/20140806.txt

openssl パッケージだけでなく、libssl1.0.0 パッケージをアップグレードすることが重要です。

openssl にリンクされているアプリケーションはすべて再起動する必要があります。影響を受けるプログラムを検出するには、debian-goodies パッケージから「checkrestart」ツールを使用することができます。また、システムを再起動することもできます。

ソリューション

openssl パッケージをアップグレードしてください。

安定版(stable)ディストリビューション(wheezy)では、これらの問題はバージョン 1.0.1e-2+deb7u12 で修正されています。

参考資料

https://security-tracker.debian.org/tracker/CVE-2014-3512

https://www.openssl.org/news/secadv/20140806.txt

https://packages.debian.org/source/wheezy/openssl

https://www.debian.org/security/2014/dsa-2998

プラグインの詳細

深刻度: High

ID: 77035

ファイル名: debian_DSA-2998.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2014/8/7

更新日: 2021/1/11

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

Base Score: 7.5

Temporal Score: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:debian:debian_linux:openssl, cpe:/o:debian:debian_linux:7.0

必要な KB アイテム: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/8/7

参照情報

CVE: CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3508, CVE-2014-3509, CVE-2014-3510, CVE-2014-3511, CVE-2014-3512, CVE-2014-5139

BID: 69075, 69076, 69077, 69078, 69079, 69081, 69082, 69083, 69084

DSA: 2998