CentOS 5 : openssl (CESA-2014:1653) (POODLE)

low Nessus プラグイン ID 78517

Language:

概要

リモート CentOS ホストに１つ以上のセキュリティ更新がありません。

説明

CVE-2014-3566 の問題を緩和するバックポートされたパッチが含まれる更新済みの openssl パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。

OpenSSL は、Secure Sockets Layer（SSL）、 Transport Layer Security（TLS）、および Datagram Transport Layer Security（DTLS）プロトコルのほか、フルパワーの汎用暗号ライブラリを実装するツールキットです。

この更新は TLS Fallback Signaling Cipher Suite Value （TLS_FALLBACK_SCSV）へのサポートを追加しています。サポートされている最も高いプロトコルバージョンを指定する最初の接続が失敗した際に、SSL/TLS プロトコルのバージョンを下げて再接続を行うアプリケーションに対するプロトコルのダウングレード攻撃を防ぐために使用することができます。

これは、SSL 3.0 への通信の強制的なダウングレードを防ぐことができます。
暗号ブロックチェーン（CBC）モードでブロック暗号化パッケージを使用した場合、 SSL 3.0 プロトコルにパディングオラクル攻撃への脆弱性があることがわかりました。この問題は CVE-2014-3566 として認識され、別名 POODLE としても知られています。この SSL 3.0 プロトコルの欠陥は、今後の更新では対処されません。安全な通信のために、ユーザーは TLS プロトコルバージョン 1.0 以上を必要とするようにアプリケーションを構成することが推奨されます。

この欠陥の詳細については、Knowledge Base の記事（https://access.redhat.com/articles/1232123）を参照してください

OpenSSL の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、CVE-2014-3566 の問題を緩和することが推奨されます。
この更新を有効にするには、OpenSSL ライブラリにリンクされているすべてのサービス（httpd およびその他の SSL が有効なサービスなど）を再起動するか、システムを再起動する必要があります。