リモートの Ubuntu 14.04 LTS ホストには、USN-2385-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

    DTLS SRTP 拡張データの解析時に、OpenSSL がメモリを不適切に処理していることが判明しました。リモートの攻撃者が、この問題を利用することにより、OpenSSL にリソースを消費させ、サービス拒否を引き起こす可能性があります。この問題の影響を受けるのは、Ubuntu 12.04 LTSとUbuntu 14.04 LTSのみです。（CVE-2014-3513）

    セッションチケットの整合性の検証時に、OpenSSL がメモリを不適切に処理していることが判明しました。リモートの攻撃者がこの問題を利用することにより、OpenSSL にリソースを消費させ、サービス拒否を引き起こす可能性があります。(CVE-2014-3567)

    さらに、この更新は TLS Fallback Signaling Cipher Suite Value（TLS_FALLBACK_SCSV）のサポートを導入します。Web ブラウザなど特定のアプリケーションが、相互運用性を理由に低いバージョンのプロトコルによって再接続を試行する際に、この新しい機能により、プロトコルのダウングレード攻撃が阻止されます。

Tenable は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

検出

Ubuntu 14.04 LTS : OpenSSL の脆弱性 (USN-2385-1)

critical Nessus プラグイン ID 78538

バージョン 1.19

バージョン 1.17

バージョン 1.19 Sep 4, 2025, 5:30 PM CVSS metrics ("Cvssv4 score" set to 0.0) CVSSv2 severity (based on None, severity decreased from "High" to "Low") Detection (updated detection logic) Plugin Feed: 202509041730
バージョン 1.17 Oct 23, 2023, 6:27 PM CVSS metrics ("CVSSv3 vector" set to "CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H") CVSS temporal metrics ("CVSSv3 temporal vector" set to "CVSS:3.0/E:U/RL:O/RC:C") CVSSv2 score source (set to "CVE-2014-3567") Detection Exploit attributes ("Exploit available" set to "False") Plugin metadata Plugin Feed: 202310231827