OracleVM 2.2:openssl (OVMSA-2014-0007)
high Nessus プラグイン ID 79531
Language:
概要
リモートの OracleVM ホストにセキュリティ更新がありません。説明
リモートの OracleVM システムに、重要なセキュリティ更新に対処するために必要なパッチがありません。- CVE-2014-0224 の修正 - SSL/TLS MITM 脆弱性
- ca-bundle.crt における期限切れの GlobalSign Root CA 証明書を置換
- CVE-2013-0169 の修正 - SSL/TLS CBC タイミング攻撃(#907589)
- CVE-2013-0166 の修正 - OCSP 署名チェックの DoS(#908052)
- 明白に要求された場合、または OPENSSL_DEFAULT_ZLIB 環境変数が設定された場合にのみ、圧縮を有効化(CVE-2012-4929 #857051 の修正)
- __secure_getenv を getenv の代わりにすべての場所で使用(#839735)
- CVE-2012-2333 の修正 - DTLS のレコード長の不適切なチェック(#820686)
- CVE-2012-2110 の修正 - asn1_d2i_read_bio のメモリ破損(#814185)
- ハンドシェイクを不適切に終了する可能性のある SGC 再起動パッチの問題を修正
- CVE-2012-0884 の修正 - CMS と PKCS#7 コードの MMA の弱点(#802725)
- CVE-2012-1165 の修正 - 不適切な MIME ヘッダーの NULL 読み取り逆参照(#802489)
- CVE-2011-4108 と CVE-2012-0050 の修正 - DTLS 平文リカバリの脆弱性と DTLS の追加修正(#771770)
- CVE-2011-4109 の修正 - ポリシーチェックの二重解放(#771771)
- CVE-2011-4576 の修正 - 初期化されていない SSL 3.0 パディング(#771775)
- CVE-2011-4619 の修正 - SGC 再起動の DoS 攻撃(#771780)
- SHA2 アルゴリズムの既知の回答テストを追加(#740866)
- 証明書 Makefile の秘密鍵のデフォルトの長さを 2048 ビットに設定(PRIVATE_KEY_BITS 設定で変更可能)(#745410)
- parse_yesno の不適切な戻り値を修正(#726593)
- DigiCert CA 証明書を ca-bundle に追加しました(#735819)
- エラーの状態について新しいセクションを README.FIPS に追加しました(#628976)
- DH キーの計算時に欠落している DH_check_pub_key 呼び出しを追加(#698175)
- SSL で利用できる暗号のプレソートリスト(#688901)
- getaddrinfo が失敗した場合でも s_server の接続を受け入れます(#561260)
- サポートされているダイジェストのリストのために openssl dgst を指し示します(#608639)
- 将来的な TLS バージョンの処理を修正(#599112)
- VeriSign Class 3 Public Primary Certification Authority - G5 と StartCom Certification Authority 証明書を ca-bundle に追加しました(#675671、#617856)
- CHIL エンジンに対する Upstream の修正(#622003、#671484)
- SHA-2 ハッシュを SSL_library_init に追加(#676384)
- CVE-2010-4180 の修正 - SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG のコードを完全に無効化(#659462)
- CVE-2009-3245 の修正 - 欠落している bn_wexpand の return チェックを追加(#570924)
- CVE-2010-0433 の修正 - NULL princ を krb5_kt_get_entry に受け渡しません。このような場合、RHEL-5 以降のバージョンでクラッシュが起きます。(#569774)
- CVE-2009-3555 の修正 - 安全な再ネゴシエーションの拡張をサポートし、デフォルトではサーバーのレガシー再ネゴシエーションを許可しません(#533125)
- CVE-2009-2409 の修正 - MD2 アルゴリズムを EVP テーブルからドロップ(#510197)
- CVE-2009-4355 の修正 - CRYPTO_cleanup_all_ex_data が早期にアプリケーションに呼び出された場合にメモリを漏洩しません(#546707)
ソリューション
影響を受ける openssl パッケージを更新してください。参考資料
https://oss.oracle.com/pipermail/oraclevm-errata/2014-June/000210.html
プラグインの詳細
深刻度: High
ID: 79531
ファイル名: oraclevm_OVMSA-2014-0007.nasl
バージョン: 1.22
タイプ: local
公開日: 2014/11/26
更新日: 2022/12/5
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: High
スコア: 7.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 7.4
現状値: 6.9
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:oracle:vm:openssl, cpe:/o:oracle:vm_server:2.2
必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2014/6/18
脆弱性公開日: 2009/7/30
エクスプロイト可能
Core Impact
参照情報
CVE: CVE-2009-2409, CVE-2009-3245, CVE-2009-3555, CVE-2009-4355, CVE-2010-0433, CVE-2010-4180, CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4619, CVE-2012-0050, CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2333, CVE-2012-4929, CVE-2013-0166, CVE-2013-0169, CVE-2014-0224
BID: 29330, 31692, 36935, 38562, 45164, 51281, 51563, 52428, 52764, 53158, 53476, 55704, 57755, 57778, 60268, 67899