OracleVM 3.2:onpenssl(OVMSA-2014-0008)

high Nessus プラグイン ID 79532

概要

リモートの OracleVM ホストにセキュリティ更新がありません。

説明

リモートの OracleVM システムに、重要なセキュリティ更新に対処するために必要なパッチがありません。

- CVE-2014-0224 の修正 - SSL/TLS MITM 脆弱性

- ca-bundle.crt における期限切れの GlobalSign Root CA 証明書を置換

- CVE-2013-0169 の修正 - SSL/TLS CBC タイミング攻撃(#907589)

- CVE-2013-0166 の修正 - OCSP 署名チェックの DoS(#908052)

- 明白に要求された場合、または OPENSSL_DEFAULT_ZLIB 環境変数が設定された場合にのみ、圧縮を有効化(CVE-2012-4929 #857051 の修正)

- __secure_getenv を getenv の代わりにすべての場所で使用(#839735)

- CVE-2012-2333 の修正 - DTLS のレコード長の不適切なチェック(#820686)

- CVE-2012-2110 の修正 - asn1_d2i_read_bio のメモリ破損(#814185)

- ハンドシェイクを不適切に終了する可能性のある SGC 再起動パッチの問題を修正

- CVE-2012-0884 の修正 - CMS と PKCS#7 コードの MMA の弱点(#802725)

- CVE-2012-1165 の修正 - 不適切な MIME ヘッダーの NULL 読み取り逆参照(#802489)

- CVE-2011-4108 と CVE-2012-0050 の修正 - DTLS 平文リカバリの脆弱性と DTLS の追加修正(#771770)

- CVE-2011-4109 の修正 - ポリシーチェックの二重解放(#771771)

- CVE-2011-4576 の修正 - 初期化されていない SSL 3.0 パディング(#771775)

- CVE-2011-4619 の修正 - SGC 再起動の DoS 攻撃(#771780)

- SHA2 アルゴリズムの既知の回答テストを追加(#740866)

- 証明書 Makefile の秘密鍵のデフォルトの長さを 2048 ビットに設定(PRIVATE_KEY_BITS 設定で変更可能)(#745410)

- parse_yesno の不適切な戻り値を修正(#726593)

- DigiCert CA 証明書を ca-bundle に追加しました(#735819)

- エラーの状態について新しいセクションを README.FIPS に追加しました(#628976)

- DH キーの計算時に欠落している DH_check_pub_key 呼び出しを追加(#698175)

- SSL で利用できる暗号のプレソートリスト(#688901)

- getaddrinfo が失敗した場合でも s_server の接続を受け入れます(#561260)

- サポートされているダイジェストのリストのために openssl dgst を指し示します(#608639)

- 将来的な TLS バージョンの処理を修正(#599112)

- VeriSign Class 3 Public Primary Certification Authority - G5 と StartCom Certification Authority 証明書を ca-bundle に追加しました(#675671、#617856)

- CHIL エンジンに対する Upstream の修正(#622003、#671484)

- SHA-2 ハッシュを SSL_library_init に追加(#676384)

- CVE-2010-4180 の修正 - SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG のコードを完全に無効化(#659462)

- CVE-2009-3245 の修正 - 欠落している bn_wexpand の return チェックを追加(#570924)

- CVE-2010-0433 の修正 - NULL princ を krb5_kt_get_entry に受け渡しません。このような場合、RHEL-5 以降のバージョンでクラッシュが起きます。(#569774)

- CVE-2009-3555 の修正 - 安全な再ネゴシエーションの拡張をサポートし、デフォルトではサーバーのレガシー再ネゴシエーションを許可しません(#533125)

- CVE-2009-2409 の修正 - MD2 アルゴリズムを EVP テーブルからドロップ(#510197)

- CVE-2009-4355 の修正 - CRYPTO_cleanup_all_ex_data が早期にアプリケーションに呼び出された場合にメモリを漏洩しません(#546707)

ソリューション

影響を受ける openssl パッケージを更新してください。

関連情報

https://oss.oracle.com/pipermail/oraclevm-errata/2014-June/000208.html

プラグインの詳細

深刻度: High

ID: 79532

ファイル名: oraclevm_OVMSA-2014-0008.nasl

バージョン: 1.21

タイプ: local

公開日: 2014/11/26

更新日: 2021/1/4

リスク情報

VPR

リスクファクター: High

スコア: 7.7

CVSS v2

リスクファクター: Critical

Base Score: 10

Temporal Score: 8.3

ベクトル: AV:N/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:F/RL:OF/RC:C

CVSS v3

リスクファクター: High

Base Score: 7.4

Temporal Score: 6.9

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: E:F/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:vm:openssl, cpe:/o:oracle:vm_server:3.2

必要な KB アイテム: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2014/6/18

脆弱性公開日: 2009/7/30

エクスプロイト可能

Core Impact

参照情報

CVE: CVE-2009-2409, CVE-2009-3245, CVE-2009-3555, CVE-2009-4355, CVE-2010-0433, CVE-2010-4180, CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4619, CVE-2012-0050, CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2333, CVE-2012-4929, CVE-2013-0166, CVE-2013-0169, CVE-2014-0224

BID: 29330, 31692, 36935, 38562, 45164, 51281, 51563, 52428, 52764, 53158, 53476, 55704, 57755, 57778, 60268, 67899

CWE: 20, 310, 399