OpenSSL 0.9.8 < 0.9.8zb の複数の脆弱性

medium Nessus プラグイン ID 77086

概要

リモートサービスは、複数の脆弱性の影響を受けます。

説明

バナーによると、リモート Web サーバーで 0.9.8zb より前のバージョンの OpenSSL 0.9.8 が使用されています。このため、OpenSSL ライブラリは、以下の脆弱性の影響を受けます。

- DTLS パケットの処理に関連するメモリダブルフリーエラーが存在することにより、サービス拒否攻撃をできます。
(CVE-2014-3505)

- DTLS ハンドシェイクメッセージの処理に関連する未特定のエラーが存在することにより、大量のメモリを消費することによるサービス拒否攻撃をできます。
(CVE-2014-3506)

- 特別に細工された DTLS パケットの処理に関連するメモリリークエラーが存在することにより、サービス拒否攻撃をできます。(CVE-2014-3507)

- 「OBJ_obj2txt」およびプリティプリント「X509_name_*」関数に関連するエラーがあることにより、スタックデータが漏洩し、情報漏洩が発生します。(CVE-2014-3508)

- 匿名の ECDH 暗号化パッケージおよび細工されたハンドシェイクメッセージの処理に関連する NULL ポインターデリファレンスエラーが存在することにより、クライアントに対してサービス拒否攻撃を実行できます。(CVE-2014-3510)

ソリューション

OpenSSL 0.9.8zb または以降にアップグレードしてください。

関連情報

https://www.openssl.org/news/openssl-0.9.8-notes.html

https://www.openssl.org/news/secadv/20140806.txt

https://www.openssl.org/news/vulnerabilities.html

プラグインの詳細

深刻度: Medium

ID: 77086

ファイル名: openssl_0_9_8zb.nasl

バージョン: 1.11

タイプ: remote

ファミリー: Web Servers

公開日: 2014/8/8

更新日: 2019/11/25

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.2

ベクトル: AV:N/AC:M/Au:N/C:P/I:N/A:N

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2014-3508

脆弱性情報

CPE: cpe:/a:openssl:openssl

必要な KB アイテム: openssl/port

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/8/6

脆弱性公開日: 2014/8/6

参照情報

CVE: CVE-2014-3505, CVE-2014-3506, CVE-2014-3507, CVE-2014-3508, CVE-2014-3510

BID: 69075, 69076, 69078, 69081, 69082