Debian DSA-3253-1：pound - セキュリティ更新（POODLE）

low Nessus プラグイン ID 83306

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

HTTP リバースプロキシおよびロードバランサーである Pound には、Secure Sockets Layer（SSL）プロトコルの脆弱性に関連する、いくつかの問題がありました。

Debian 7（wheezy）の場合、この更新では、クライアント主導の再ネゴシエーションを実際に無効にできるように、不足している部分を追加し、それをデフォルトで無効にしています（CVE-2009-3555）。通常、OpenSSL システムライブラリにより既に無効になっていますが、TLS 圧縮は無効です（CVE-2012-4929）。この更新ではデフォルトで無効になりませんが、新しい「DisableSSLv3」構成ディレクティブを通じて、SSLv3 プロトコルを全体的に無効にする機能がついに追加されています（CVE-2014-3566）。さらに、リダイレクトエンコードでの、セキュリティに影響を及ぼさない問題が対処されています。

Debian 8（jessie）の場合、クライアント主導の再ネゴシエーションを除いて、リリース前にこれらの問題は修正されています。（CVE-2009-3555）。この更新では、jessie に関するその問題に対処しています。

ソリューション

pound パッケージをアップグレードしてください。

旧安定版（oldstable）ディストリビューション (wheezy) では、これらの問題はバージョン 2.6-2+deb7u1 で修正されています。

安定版（stable）ディストリビューション（jessie）では、これらの問題はバージョン2.6-6+deb8u1 で修正されています。