GLSA-201603-15：OpenSSL：複数の脆弱性（DROWN）

critical Nessus プラグイン ID 90053

Language:

概要

リモートの Gentoo ホストでは、セキュリティに関連するパッチが少なくとも 1 つ不足しています。

説明

リモートホストは、GLSA-201603-15 で説明されている脆弱性の影響を受けます（OpenSSL：複数の脆弱性）

複数の脆弱性が OpenSSL で発見されましたが、最悪のものは、DROWN と呼ばれるクロスプロトコル攻撃であり、TLS セッションが復号される可能性があります。詳細については、以下で参照されている CVE 識別子をレビューしてください。
影響：

リモートの攻撃者が TLS セッションを復号して、Bleichenbacher RSA パディングオラクルとして SSLv2 および EXPORT 暗号スイートをサポートするサーバーを使用して、サービス拒否状態を引き起こし、機密情報をメモリから取得し、（まれな状況では）RSA 鍵を復元する可能性があります。
回避策：

DROWN の回避策は、全 SSL/TLS サーバーで SSLv2 プロトコルを無効にすることです。

ソリューション

OpenSSL の全ユーザーは、最新バージョンへアップグレードする必要があります：
# emerge --sync # emerge --ask --oneshot --verbose '>=dev-libs/openssl-1.0.2g-r2'注意：OpenSSL 1.0.2 から、DROWN 攻撃に対処するために、OpenSSL プロジェクトでは、SSLv2 をビルド時にデフォルトで無効にします。Gentoo はビルド時に今でも SSLv2 を有効にして OpenSSL を出荷しているために、この変更により OpenSSL に依存する一部の Gentoo パッケージで重大な問題が発生します。注意：OpenSSL プロジェクトではさらに注意を払い、アプリケーションが明示的に SSLv2 をリクエストする必要があるために、これは今でも DROWN に脆弱であることを意味しません。我々は、ユーザーに影響する問題が発生しないようにするため、SSLv2 をフェーズアウトするための移行パスで作業しています。この決定を行った方法の詳細は、バグ 576128 を参照してください。