Mandriva Linux セキュリティアドバイザリ:openssl(MDVSA-2014:203)
high Nessus プラグイン ID 78665
Language:
概要
リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。説明
OpenSSL に複数の脆弱性が発見され、修正されました。OpenSSL に TLS_FALLBACK_SCSV に対するサポートが追加され、プロトコルダウングレードを強制的に実行する MITM 攻撃者の能力をアプリケーションがブロックすることができます。一部のクライアントアプリケーション(ブラウザなど)は、ダウングレードされたプロトコルを使用して再接続し、古いサーバーの相互運用性のバグを回避します。アクティブな中間者によりこれが悪用され、接続の両側が高いプロトコルをサポートしているにもかかわらず、接続が SSL 3.0 までダウングレードされる可能性があります。SSL 3.0 には、POODLE を含めて多数の脆弱性があります(CVE-2014-3566)。
OpenSSL SSL/TLS/DTLS サーバーがセッションチケットを受信した場合、このチケットの整合性が最初に検証されます。セッションチケットの整合性チェックが失敗した場合、OpenSSL がメモリの解放に失敗し、これによりメモリ漏洩が引き起こされます。多数の無効なセッションチケットを送信することにより、攻撃者がこの問題を DoS 攻撃(サービス拒否攻撃)に悪用する可能性があります(CVE-2014-3567)。
更新済みパッケージが、これらのセキュリティ上の欠陥が修正された 1.0.0o バージョンにアップグレードされています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: High
ID: 78665
ファイル名: mandriva_MDVSA-2014-203.nasl
バージョン: 1.19
タイプ: local
公開日: 2014/10/24
更新日: 2023/6/26
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.1
CVSS v2
リスクファクター: High
基本値: 7.1
現状値: 5.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C
脆弱性情報
CPE: p-cpe:/a:mandriva:linux:lib64openssl-devel, p-cpe:/a:mandriva:linux:lib64openssl-engines1.0.0, p-cpe:/a:mandriva:linux:lib64openssl-static-devel, p-cpe:/a:mandriva:linux:lib64openssl1.0.0, p-cpe:/a:mandriva:linux:openssl, cpe:/o:mandriva:business_server:1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/10/23
参照情報
CVE: CVE-2014-3566, CVE-2014-3567
MDVSA: 2014:203