Mandriva Linux セキュリティアドバイザリ:openssl(MDVSA-2015:062)

high Nessus プラグイン ID 82315

概要

リモート Mandriva Linux ホストには、1 つ以上のセキュリティ更新がありません。

説明

OpenSSL に複数の脆弱性が発見され、修正されました。

1.0.1g までの OpenSSL の s3_pkt.c の ssl3_read_bytes 関数にある競合状態により、SSL_MODE_RELEASE_BUFFERS が有効である場合、マルチスレッド環境の SSL 接続を通じて、リモートの攻撃者がセッションをまたいでデータを挿入したり、サービス拒否(use-after-free および解析エラー)を引き起こしたりすることが可能です(CVE-2010-5298)。

1.0.0l までの OpenSSL での Montgomery ladder 実装では、特定のスワップ操作での一定時間の動作が保証されません。これにより、ローカルユーザーは、FLUSH+RELOAD キャッシュサイドチャネル攻撃を介して、 ECDSA nonce をより簡単に取得できます(CVE-2014-0076)。

1.0.1g より前の OpenSSL 1.0.1 の (1) TLS および (2) DTLS の実装が、ハートビート拡張パケットを適切に処理しません。これにより、リモートの攻撃者が、バッファオーバーリードを発生させるように細工されたパケットを介してプロセスメモリから機密情報を入手できます。これは、秘密鍵を読み取ることにより実証され、d1_both.c と t1_lib.c(別名:ハートブリードバグ)の両方に関連しています(CVE-2014-0160)。

0.9.8za より前、1.0.0m より前の 1.0.0、および 1.0.1h より前の 1.0.1 の OpenSSL で、 d1_both.c の dtls1_reassemble_fragment 関数が、 DTLS ClientHello メッセージのフラグメントの長さを正しく検証しません。このため、リモートの攻撃者が、任意のコードを実行したり、長い非初期フラグメントを通じてサービス拒否(バッファオーバーフローおよびアプリケーションクラッシュ)を引き起こしたりする可能性があります(CVE-2014-0195)。

1.0.1g までの OpenSSL 1.x の s3_pkt.c にある do_ssl3_write 関数は、SSL_MODE_RELEASE_BUFFERS が有効である場合に、特定の再帰呼び出し中にバッファポインターを適切に管理しません。これにより、アラート状態を発生させるベクトルを通じて、リモートの攻撃者がサービス拒否(NULL ポインターデリファレンスとアプリケーションクラッシュ)を引き起こすことが可能です(CVE-2014-0198)。

0.9.8za より前、1.0.0m より前の 1.0.0 および 1.0.1h より前の1.0.1 の OpenSSL で、 d1_both.c の dtls1_get_message_fragment 関数により、リモートの攻撃者が、無効な DTLS ハンドシェイクの DTLS hello メッセージで、サービス拒否(再帰およびクライアントのクラッシュ)を引き起こす可能性があります(CVE-2014-0221)。

0.9.8za より前、1.0.0m より前の 1.0.0、および 1.0.1h より前の 1.0.1 の OpenSSL は、 ChangeCipherSpec メッセージの処理を適切に制限ません。このため、中間者攻撃者が、特定の OpenSSL 間通信でゼロレングスマスターキーの使用を引き起こし、その結果、細工された TLS ハンドシェイク(CCS インジェクションの脆弱性とも呼ぶ)を利用して、セッションをハイジャックしたり、機密情報を入手する可能性があります(CVE-2014-0224)。

匿名の ECDH 暗号化パッケージを使用する際、0.9.8za より前、 1.0.0m より前の 1.0.0 および 1.0.1h より前の 1.0.1 の OpenSSL の s3_clnt.c の ssl3_send_client_key_exchange 関数により、リモートの攻撃者が、 NULL 証明書値を引き起こすることを通じて、サービス拒否(NULL ポインターデリファレンスおよびクライアントのクラッシュ)を引き起こす可能性があります(CVE-2014-3470)。

1.0.1j 以前の OpenSSL 1.0.1 において、DTLS SRTP 拡張の d1_srtp.c にあるメモリ漏洩により、リモートの攻撃者が、細工されたハンドシェイクメッセージを介してサービス拒否(メモリの消費)を引き起こすことができます(CVE-2014-3513)。

1.0.1i までの OpenSSL およびその他の製品で使用される SSL プロトコル 3.0 は、非決定性の CBC パディングを使用します。これにより、中間者攻撃の攻撃者が、パディングオラクル攻撃(別名「POODLE」問題)を通じて平文データを簡単に取得できるようになります(CVE-2014-3566)。

0.9.8zc 以前、1.0.0o 以前の 1.0.0、および 1.0.1j 以前の 1.0.1 の OpenSSL において、t1_lib.c にある tls_decrypt_ticket 関数のメモリリークによって、リモートの攻撃者が、整合性チェックエラーを発生させるように細工されたセッションチケットを通してサービス拒否(メモリの消費)を引き起こすことができます(CVE-2014-3567)。

OpenSSL 0.9.8zc、1.0.0o、および 1.0.1j において、 s23_srvr.c 内の ssl23_get_client_hello 関数は、サポートされていないプロトコルを利用しようとする試みを適切に処理していません。これにより、リモートの攻撃者は、予期しないハンドシェイクを通じて、サービス拒否(NULL ポインターデリファレンスとデーモンクラッシュ)を引き起こすことができます。このことは、ある特定のエラー処理での、 no-ssl3 アプリケーションへの SSLv3 ハンドシェイクで実証されています。注:この問題は、CVE-2014-3568 の修正後に関連性を持つようになりました(CVE-2014-3569)。

0.9.8zd 以前、1.0.0p 以前の 1.0.0、および 1.0.1k 以前の 1.0.1 の OpenSSL における BN_sqr 実装では、BIGNUM 値の平方を適切に計算しません。これにより、不特定のベクトルを介して、リモートの攻撃者が暗号保護メカニズムを簡単に破る可能性があります。これは、crypto/bn/asm/mips.pl、crypto/bn/asm/x86_64-gcc.c、および crypto/bn/bn_asm.c に関連しています(CVE-2014-3570)。

0.9.8zd より前、1.0.0p より前の 1.0.0、および 1.0.1k より前の 1.0.1 の OpenSSL により、ハンドシェイク本体用とは異なるハンドシェイクヘッダー用の読み取り操作で処理される、細工された DTLS メッセージを通じて、リモートの攻撃者はサービス拒否(NULL ポインターデリファレンスとアプリケーションクラッシュ)を引き起こすことができます。これは、d1_pkt.c の dtls1_get_record 関数および s3_pkt.c の ssl3_read_n 関数に関連しています(CVE-2014-3571)。

0.9.8zd より前、1.0.0p より前の 1.0.0、および 1.0.1k より前の 1.0.1 の OpenSSL の s3_clnt.c にある ssl3_get_key_exchange 関数により、リモートの SSL サーバーは ECDHE-to-ECDH ダウングレード攻撃を仕掛けることができ、ServerKeyExchange メッセージを省略することで前方秘匿性の消失を誘発できます(CVE-2014-3572)。

0.9.8zd 以前、1.0.0p 以前の 1.0.0、および 1.0.1k 以前の 1.0.1 の OpenSSL は、証明書データに特定の制約を強制しません。これにより、リモートの攻撃者は、証明書の署名のない部分に細工されたデータを含めることで、指紋ベースの証明書ブラックリスト保護メカニズムを破ることができます。これは、crypto/asn1/a_verify.c、crypto/dsa/dsa_asn1.c、crypto/ecdsa/ecs_vrf.c、および crypto/x509/x_all.c に関連しています(CVE-2014-8275)。

0.9.8zd より前、1.0.0p より前の 1.0.0、および 1.0.1k より前の 1.0.1 の OpenSSL において、s3_clnt.c の ssl3_get_key_exchange 関数により、リモートの SSL サーバーが、RSA-to-EXPORT_RSA ダウングレード攻撃を仕掛ける可能性があります。また、FREAK の問題に関連して、役割を順守しない脆弱で一時的な RSA キーを提示することにより、ブルートフォース暗号解読が助長される可能性があります。注:この CVE は、OpenSSL に基づくクライアントコードのみを網羅するものであり、サーバーまたはその他の TLS 実装に関連する EXPORT_RSA の問題は網羅しません(CVE-2015-0204)。

1.0.0p より前の 1.0.0 および 1.0.1k より前の 1.0.1 の OpenSSL において、s3_srvr.c にある ssl3_get_cert_verify 関数は、CertificateVerify メッセージを必要とせずに、ディフィー・ヘルマン(DH)証明書でのクライアント認証を受け入れます。これにより、リモートの攻撃者は、秘密鍵の知識がなくても、細工した TLS ハンドシェイクプロトコルのトラフィックを通じて、DH の支援により証明機関を認識するサーバーにアクセスできます(CVE-2015-0205)。

1.0.0p 以前の 1.0.0、および 1.0.1k 以前の 1.0.1 の OpenSSL では、d1_pkt.c の dtls1_buffer_record 関数のメモリ漏洩によって、リモートの攻撃者は、次のエポックに対して多数の重複レコードを送信することで、サービス拒否(メモリ消費)を引き起こすことができ、リプレイ検出の失敗につながります(CVE-2015-0206)。

0.9.8zf より前、1.0.0r より前の 1.0.0、1.0.1m より前の 1.0.1、および 1.0.2a より前の 1.0.2 の OpenSSL の crypto/ec/ec_asn1.c にある d2i_ECPrivateKey 関数に use-after-free の脆弱性があるため、リモートの攻撃者が、サービス拒否(メモリ破損およびアプリケーションクラッシュ)を引き起こす可能性があります。また、インポート時に不適切に処理される無効な形式の楕円曲線(EC)秘密鍵ファイルにより、特定されない他の影響を及ぼす可能性があります(CVE-2015-0209)。

0.9.8zf より前、1.0.0r より前の 1.0.0、1.0.1m より前の 1.0.1 および 1.0.2a より前の 1.0.2 の OpenSSL の crypto/asn1/a_type.c にある ASN1_TYPE_cmp 関数が、ブーリアン型の比較を正しく実行しないために、リモートの攻撃者が、サービス拒否(無効な読み取り操作およびアプリケーションクラッシュ)を引き起こす可能性があります。これは、証明書検証機能を使用するエンドポイントに細工された X.509 証明書を使用することにより、行われます(CVE-2015-0286)。

0.9.8zf より前、1.0.0r より前の 1.0.0、1.0.1m より前の 1.0.1、および 1.0.2a より前の 1.0.2 の OpenSSL の crypto/asn1/tasn_dec.c にある ASN1_item_ex_d2i 関数が、CHOICE および ADB データ構造体を再初期化しないため、ASN.1 構造体の再使用に依存するアプリケーションを利用することで、攻撃者がサービス拒否(無効な書き込み操作およびメモリ破損)を引き起こす可能性があります(CVE-2015-0287)。

0.9.8zf より前、1.0.0r より前の 1.0.0、1.0.1m より前の 1.0.1、および 1.0.2a より前の 1.0.2 の OpenSSL の crypto/x509/x509_req.c にある X509_to_X509_REQ 関数により、攻撃者が、無効な証明書鍵でサービス拒否(NULL ポインターデリファレンスおよびアプリケーションクラッシュ)を引き起こす可能性があります(CVE-2015-0288)。

0.9.8zf より前、1.0.0r より前の 1.0.0、1.0.1m より前の 1.0.1、および 1.0.2a より前の 1.0.2a の OpenSSL にある PKCS#7 実装が、外部 ContentInfo がない状態を適切に処理しないために、攻撃者が、サービス拒否(NULL ポインターデリファレンスおよびアプリケーションクラッシュ)を引き起こす可能性があります。これは、任意の PKCS#7 データを処理するアプリケーションを利用し、 crypto/pkcs7/pk7_doit.c および crypto/pkcs7/pk7_lib.c に関連する ASN.1 エンコーディングのある無効な形式のデータを提供することにより行われます(CVE-2015-0289)。

0.9.8zf より前、1.0.0r より前の 1.0.0、1.0.1m より前の 1.0.1、および 1.0.2a より前の 1.0.2 の OpenSSL の SSLv2 実装により、リモートの攻撃者が、細工された CLIENT-MASTER-KEY メッセージで、サービス拒否(s2_lib.c アサーション失敗およびデーモン終了)を引き起こす可能性があります(CVE-2015-0293)。

更新済みパッケージが、これらのセキュリティ上の欠陥が修正された 1.0.1m バージョンにアップグレードされています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://www.openssl.org/news/secadv/20150108.txt

https://www.openssl.org/news/secadv/20150319.txt

プラグインの詳細

深刻度: High

ID: 82315

ファイル名: mandriva_MDVSA-2015-062.nasl

バージョン: 1.13

タイプ: local

公開日: 2015/3/30

更新日: 2022/5/5

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.7

CVSS v2

リスクファクター: High

Base Score: 9.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

脆弱性情報

CPE: p-cpe:/a:mandriva:linux:lib64openssl-devel, p-cpe:/a:mandriva:linux:lib64openssl-engines1.0.0, p-cpe:/a:mandriva:linux:lib64openssl-static-devel, p-cpe:/a:mandriva:linux:lib64openssl1.0.0, p-cpe:/a:mandriva:linux:openssl, cpe:/o:mandriva:business_server:2

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2015/3/27

CISA の既知の悪用された脆弱性の期限日: 2022/5/25

エクスプロイト可能

Core Impact

参照情報

CVE: CVE-2010-5298, CVE-2014-0076, CVE-2014-0160, CVE-2014-0195, CVE-2014-0198, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470, CVE-2014-3513, CVE-2014-3566, CVE-2014-3567, CVE-2014-3569, CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275, CVE-2015-0204, CVE-2015-0205, CVE-2015-0206, CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0293

MDVSA: 2015:062