GLSA-201503-11：OpenSSL：複数の脆弱性（FREAK）

high Nessus プラグイン ID 82010

Language:

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201503-11 で説明されている脆弱性の影響を受けます（OpenSSL：複数の脆弱性）

OpenSSL に複数の脆弱性が見つかりました。詳細については、下記で言及されている CVE 識別子および Upstream アドバイザリをご確認ください：
RSA はサイレントに EXPORT_RSA にダウングレードします [クライアント]（再分類済み）（CVE-2015-0204）ASN1_TYPE_cmp でのセグメンテーション違反（CVE-2015-0286）ASN.1 構造体再利用でのメモリ破損（CVE-2015-0287）X509_to_X509_REQ の NULL ポインターデリファレンス（CVE-2015-0288）PKCS7 の NULL ポインターデリファレンス（CVE-2015-0289）Base64 デコード（CVE-2015-0292）SSLv2 サーバーでの到達可能なアサーションを介した DoS（CVE-2015-0293）d2i_ECPrivatekey エラーに続く use-after-free（CVE-2015-0209）以下の問題は、サポートされた Gentoo 安定版（stable）ツリーの一部ではない、OpenSSL 1.0.2 にのみ影響を与えます：
OpenSSL 1.0.2 ClientHello sigalgs の DoS（CVE-2015-0291）Multiblock の破損したポインター（CVE-2015-0290）DTLSv1_listen でのセグメンテーション違反（CVE-2015-0207）無効な　PSS パラメーターでのセグメンテーション違反（CVE-2015-0208）クライアント認証と DHE での空の CKE（CVE-2015-1787）シードされていない PRNG とのハンドシェイク（CVE-2015-0285）影響：

リモートの攻撃者は、複数のベクトルを利用して、サービス拒否および情報漏洩を引き起こすことができます。
回避策：

現時点で、既知の回避策はありません。

ソリューション

OpenSSL 1.0.1 の全ユーザーは、最新バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-libs/openssl-1.0.1l-r1' OpenSSL 0.9.8 の全ユーザーは、最新バージョンにアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-libs/openssl-0.9.8z_p5-r1' アップグレードを有効にするには、OpenSSL ライブラリに依存するパッケージを再起動する必要があります。再コンパイルが必要なパッケージもあります。
revdep-rebuild などのツールは、これらのパッケージの一部を特定するのに役立つ場合があります。