RHEL 5 : openssl (RHSA-2014:1653) (POODLE)

low Nessus プラグイン ID 78533

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

CVE-2014-3566 の問題を緩和するバックポートされたパッチが含まれる更新済みの openssl パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。

OpenSSL は、Secure Sockets Layer(SSL)、 Transport Layer Security(TLS)、および Datagram Transport Layer Security(DTLS)プロトコルのほか、フルパワーの汎用暗号ライブラリを実装するツールキットです。

この更新は TLS Fallback Signaling Cipher Suite Value (TLS_FALLBACK_SCSV)へのサポートを追加しています。サポートされている最も高いプロトコルバージョンを指定する最初の接続が失敗した際に、SSL/TLS プロトコルのバージョンを下げて再接続を行うアプリケーションに対するプロトコルのダウングレード攻撃を防ぐために使用することができます。

これは、SSL 3.0 への通信の強制的なダウングレードを防ぐことができます。
暗号ブロックチェーン(CBC)モードでブロック暗号化パッケージを使用した場合、 SSL 3.0 プロトコルにパディングオラクル攻撃への脆弱性があることがわかりました。この問題は CVE-2014-3566 として認識され、別名 POODLE としても知られています。この SSL 3.0 プロトコルの欠陥は、今後の更新では対処されません。安全な通信のために、ユーザーは TLS プロトコルバージョン 1.0 以上を必要とするようにアプリケーションを構成することが推奨されます。

この欠陥の詳細については、Knowledge Base の記事(https://access.redhat.com/articles/1232123)を参照してください

OpenSSL の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、CVE-2014-3566 の問題を緩和することが推奨されます。
この更新を有効にするには、OpenSSL ライブラリにリンクされているすべてのサービス(httpd およびその他の SSL が有効なサービスなど)を再起動するか、システムを再起動する必要があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/articles/1232123

https://access.redhat.com/errata/RHSA-2014:1653

プラグインの詳細

深刻度: Low

ID: 78533

ファイル名: redhat-RHSA-2014-1653.nasl

バージョン: 1.28

タイプ: local

エージェント: unix

公開日: 2014/10/17

更新日: 2023/6/23

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.4

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2014-3566

CVSS v3

リスクファクター: Low

基本値: 3.4

現状値: 3.1

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:openssl, p-cpe:/a:redhat:enterprise_linux:openssl-debuginfo, p-cpe:/a:redhat:enterprise_linux:openssl-devel, p-cpe:/a:redhat:enterprise_linux:openssl-perl, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/10/16

参照情報

CVE: CVE-2014-3566

BID: 70574

RHSA: 2014:1653