Scientific Linux セキュリティ更新:SL5.x i386/x86_64の openssl (POODLE)
low Nessus プラグイン ID 78536
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
この更新は TLS Fallback Signaling Cipher Suite Value (TLS_FALLBACK_SCSV)へのサポートを追加しています。サポートされている最も高いプロトコルバージョンを指定する最初の接続が失敗した際に、SSL/TLS プロトコルのバージョンを下げて再接続を行うアプリケーションに対するプロトコルのダウングレード攻撃を防ぐために使用することができます。これは、SSL 3.0 への通信の強制的なダウングレードを防ぐことができます。
暗号ブロックチェーン(CBC)モードでブロック暗号化パッケージを使用した場合、 SSL 3.0 プロトコルにパディングオラクル攻撃への脆弱性があることがわかりました。この問題は CVE-2014-3566 として認識され、別名 POODLE としても知られています。この SSL 3.0 プロトコルの欠陥は、今後の更新では対処されません。安全な通信のために、ユーザーは TLS プロトコルバージョン 1.0 以上を必要とするようにアプリケーションを構成することが推奨されます。
この欠陥の詳細については、Upstream の Knowledge Base の記事(https://access.redhat.com/articles/1232123)を参照してください
この更新を有効にするには、OpenSSL ライブラリにリンクされているすべてのサービス(httpd およびその他の SSL が有効なサービスなど)を再起動するか、システムを再起動する必要があります。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 78536
ファイル名: sl_20141016_openssl_on_SL5_x.nasl
バージョン: 1.18
タイプ: local
エージェント: unix
公開日: 2014/10/17
更新日: 2023/6/28
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.1
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS v3
リスクファクター: Low
基本値: 3.4
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:fermilab:scientific_linux:openssl, p-cpe:/a:fermilab:scientific_linux:openssl-debuginfo, p-cpe:/a:fermilab:scientific_linux:openssl-devel, p-cpe:/a:fermilab:scientific_linux:openssl-perl, x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/10/16
脆弱性公開日: 2014/10/15
参照情報
CVE: CVE-2014-3566