openSUSE セキュリティ更新:mbedtls(openSUSE-2016-903)
medium Nessus プラグイン ID 92625
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
バージョン 1.3.17 へのこの mbedtls の更新では、次の問題を修正しています:修正されたセキュリティの課題:
- PKCS1 v2.2 で必要な mbedtls_rsa_rsaes_pkcs1_v15_decrypt のパディング長チェックの消失を修正
- mbedtls_rsa_rsaes_oaep_decrypt のバッファオーバーリードにつながる整数アンダーフローの可能性を修正。これは、SSL/TLS でリモートでトリガー可能ではありません。
- mbedtls_rsa_rsaes_pkcs1_v15_encrypt および mbedtls_rsa_rsaes_oaep_encrypt のバッファオーバーフローにつながる整数オーバーフローの可能性を修正
修正されたバグ:
- 3 つの引数が同じである際に誤った結果を引き起こす mbedtls_mpi_add_mpi() のバグを修正(インプレース重複)。Janos Follath 氏が発見して修正。
#309
- armar を使用するビルドを妨げる Makefile の問題を修正。
- ビット長が奇数の RSA キー生成時のハングアップを引き起こす問題を修正。
- NULL ポインターデリファレンス発生の可能性がある mbedtls_rsa_rsaes_pkcs1_v15_encrypt のバグを修正します。
- 無効な曲線が mbedtls_ssl_conf_curves に渡された際に発生するクラッシュを修正します。#373
その他の変更:
- ARM プラットフォームで、-O0 をつけて GCC、Clang または armcc5 でコンパイルする際に、bignum 乗算用の最適化アセンブリを使用しないでください。こうすることで、
-fomit-frame-pointer を渡す必要がなくなり、-O0 でビルドエラーが回避されます。
- デフォルト構成で SSLv3 を無効にしました。
- 非適合サーバーの拡張処理を修正。RFC6101 で要求されているとおり、SSLv3 の拡張は今では無視されます。
ソリューション
影響を受ける mbedtls パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 92625
ファイル名: openSUSE-2016-903.nasl
バージョン: 2.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2016/7/29
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:libmbedtls9, p-cpe:/a:novell:opensuse:libmbedtls9-32bit, p-cpe:/a:novell:opensuse:libmbedtls9-debuginfo, p-cpe:/a:novell:opensuse:libmbedtls9-debuginfo-32bit, p-cpe:/a:novell:opensuse:mbedtls-debugsource, p-cpe:/a:novell:opensuse:mbedtls-devel, cpe:/o:novell:opensuse:42.1
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2016/7/27