AIX OpenSSL アドバイザリ：openssl_advisory10.asc

high Nessus プラグイン ID 77603

Language:

概要

AIX リモートホストに、複数の脆弱性の影響を受けるバージョンの OpenSSL がインストールされています。

説明

リモートホストにインストールされている OpenSSL は、以下の脆弱性の影響を受けます。

- DTLS パケットの処理に関連するメモリダブルフリーエラーが存在することにより、サービス拒否攻撃をできます。
（CVE-2014-3505）

- DTLS ハンドシェイクメッセージの処理に関連する未特定のエラーが存在することにより、大量のメモリを消費することによるサービス拒否攻撃をできます。
（CVE-2014-3506）

- 特別に細工された DTLS パケットの処理に関連するメモリリークエラーが存在することにより、サービス拒否攻撃をできます。（CVE-2014-3507）

- 「OBJ_obj2txt」およびプリティプリント「X509_name_*」関数に関連するエラーがあることにより、スタックデータが漏洩し、情報漏洩が発生します。（CVE-2014-3508）

- 「ec point format extension」の処理およびマルチスレッド化されたクライアントに関連するエラーがあることにより、再開されたセッション中に、解放されたメモリに上書きできます。
（CVE-2014-3509）

- 匿名の ECDH 暗号化パッケージおよび細工されたハンドシェイクメッセージの処理に関連する NULL ポインターデリファレンスエラーが存在することにより、クライアントに対してサービス拒否攻撃を実行できます。（CVE-2014-3510）

- フラグメント化された「ClientHello」メッセージの処理に関連するエラーが存在し、中間者攻撃を行う攻撃者が、サーバーとクライアントの両方でサポートされているプロトコルのレベルの高さに関係なく、TLS 1.0 の使用を強制する可能性があります。（CVE-2014-3511）

- Secure Remote Password プロトコル（SRP）パラメーターの処理に関連するバッファオーバーフローが存在し、特定されない影響を及ぼします。（CVE-2014-3512）

- Secure Remote Password プロトコル（SRP）の処理に関連する NULL ポインターデリファレンスエラーが存在します。これにより、悪意あるサーバーがクライアントをクラッシュして、サービス拒否を引き起こす可能性があります。（CVE-2014-5139）