AIX 6.1 TL 9：bos.net.tcp.client（U861500）

high Nessus プラグイン ID 87184

Language:

概要

リモートAIXホストに、ベンダー提供のセキュリティパッチがありません。

説明

リモートホストに、bos.net.tcp.client パッケージのセキュリティに関連する AIX PTF U861500 がありません。

SSLv3 プロトコルを使用している場合、製品は、デザインエラーによりリモートの攻撃者に機密情報の取得を可能にする恐れがあります。中間者攻撃を実行することができるリモートのユーザーが、 POODLE （ダウングレードした Legacy 暗号化時のパディングオラクル）攻撃を介してこの脆弱性を悪用し、 SSL セッションを復号化し暗号化された接続の平文へアクセスする恐れがあります。

ネットワークタイムプロトコル（NTP）プロジェクト NTP デーモン（ntpd）は対称鍵認証を使用する際のエラーによって発生する、サービス拒否に脆弱です。攻撃者はこの脆弱性を悪用して、特別に細工されたパケットを両方のピアリングホストに送信することにより、同期を妨げる可能性があります。

TLS プロトコルによって、 DHE_EXPORT 暗号スイートの選択を適切に伝えられないことで、リモートの攻撃者が機密情報を入手する可能性があります。攻撃者がこの脆弱性を悪用して、中間者の技法を使用し、 512 ビットの輸出グレードの暗号をダウングレードさせる可能性があります。悪用が成功すると、攻撃者がセッションキーを復元するとともに、トラフィックの内容を改変する可能性があります。この脆弱性は、一般に｢Logjam｣と呼ばれています。

ISC BIND は、TKEY クエリの処理でのエラーにによって発生するサービス拒否に脆弱です。リモートの攻撃者はこの脆弱性を悪用して、特別に細工されたパケットを送信することにより、REQUIRE アサーションを失敗させる可能性があります。

IBM AIX により、ローカルの攻撃者は、ファイバーチャネルアダプターが存在する際の netstat の脆弱性を通じて、自身の権限を root アクセスに昇格することができます。

ISC BIND は、buffer.c におけるアサーションエラーが原因で検証リゾルバーの終了により引き起こされるサービス拒否に対して脆弱です。無効な形式の DNSSEC キーを解析することで、リモートの攻撃者がこの脆弱性を悪用し、サービス拒否を引き起こすおそれがあります。