Oracle Linux 5：openssl（ELSA-2014-1053）

high Nessus プラグイン ID 77192

Language:

概要

リモート Oracle Linux ホストに、1 つ以上のセキュリティ更新がありません。

説明

Red Hat セキュリティアドバイザリ 2014:1053 から：

複数のセキュリティの問題を修正する更新済みの openssl パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System （CVSS）のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

OpenSSL は、Secure Sockets Layer（SSL）、 Transport Layer Security（TLS）、および Datagram Transport Layer Security（DTLS）プロトコルのほか、フルパワーの汎用暗号ライブラリを実装するツールキットです。

OBJ_obj2txt() 関数が出力を適切に NUL 終端させるのに失敗する可能性があることが、発見されました。これにより、OpenSSL 関数を使用しているアプリケーションが X.509 の証明書のフィールドをフォーマットし、メモリの一部を漏洩する可能性があります。（CVE-2014-3508）

OpenSSL が DTLS パケットを処理する方法で、複数の欠陥が発見されました。リモートの攻撃者が、これらの欠陥を利用して、 OpenSSL を使用する DTLS サーバーまたはクライアントをクラッシュさせたり、過剰な量のメモリを消費させたりする可能性があります。（CVE-2014-0221、 CVE-2014-3505、CVE-2014-3506）

匿名のディフィー・ヘルマン（DH）鍵交換を使用している場合、OpenSSL がハンドシェイクを行う方法で、NULL ポインターデリファレンスの欠陥が見つかりました。
悪意あるサーバーが、クライアントが匿名の DH 暗号化パッケージを有効化している場合に、OpenSSL を使用する DTLS クライアントをクラッシュさせる可能性があります。（CVE-2014-3510）

Red Hat は、OpenSSL プロジェクトが CVE-2014-0221 を報告してくれたことに感謝の意を表します。Upstream は Search-Lab の Imre Rad 氏をこの問題の最初の報告者として認めます。

OpenSSL の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。この更新を有効にするには、OpenSSL ライブラリにリンクされているすべてのサービス（httpd およびその他の SSL が有効なサービスなど）を再起動するか、システムを再起動する必要があります。