Amazon Linux AMI:openssl(ALAS-2014-427)
high Nessus プラグイン ID 78485
Language:
概要
リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。説明
OpenSSL が DTLS Secure Real-time Transport Protocol(SRTP)拡張データを解析していた過程に、メモリ漏洩の欠陥が見つかりました。リモートの攻撃者が、特別に細工された複数のハンドシェイクメッセージを送信し、 SSL/TLS または DTLS サーバーのすべての利用可能なメモリを消費する可能性があります。(CVE-2014-3513)OpenSSL が失敗したセッションチケットの整合性チェックを処理する方法で、メモリ漏洩の欠陥が見つかりました。リモートの攻撃者が、大量の無効なセッションチケットを SSL/TLS または DTLS サーバーに送信することにより、このサーバーのすべての利用可能なメモリを消費する可能性があります。(CVE-2014-3567)
OpenSSL が「no-ssl3」をビルドオプションに設定して構成されると、サーバーが SSL 3.0 ハンドシェイクを受け入れ、完了できるようになり、
クライアントがそれらを送信するように構成される可能性があります。(CVE-2014-3568)
ソリューション
「yum update openssl」を実行してシステムを更新してください。注意:最初に「yum clean all」を実行する必要がある可能性があります。参考資料
プラグインの詳細
深刻度: High
ID: 78485
ファイル名: ala_ALAS-2014-427.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
公開日: 2014/10/16
更新日: 2018/4/18
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: High
基本値: 7.1
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C
脆弱性情報
CPE: p-cpe:/a:amazon:linux:openssl, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-perl, p-cpe:/a:amazon:linux:openssl-static, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2014/10/15
参照情報
CVE: CVE-2014-3513, CVE-2014-3567, CVE-2014-3568
ALAS: 2014-427