openssl にセキュリティホール、および関連パッケージのアップデート
発行日:2016,05,27
- 対象 (Vine Linuxバージョン):
6.3/i386, 6.3/x86_64
- 内容:
- crypto/bn/bn_exp.c に問題が発見されました。
ローカルユーザにより、被害者と同じ Intel Sandy Bridge CPU Core 上で巧妙に細工されたアプリケーションを実行され、キャッシュのバンクコンフリクトを引き起こされることで、RSA の鍵を取得される可能性があります。
(CVE-2016-0702)
crypto/dsa/dsa_ameth.c の dsa_priv_decode 関数に、メモリ二重解放の問題が発見されました。
第三者により、不正な形式の DSA 秘密鍵を介して、DoS (メモリ破損) 状態にされるなど、不特定の影響を受ける可能性があります。
(CVE-2016-0705)
crypto/bn/bn.h および crypto/bn/bn_print.c に問題が発見されました。
第三者により、DoS (ヒープメモリ破損またはNULL ポインタデリファレンス) 状態にされるなど、不特定の影響を受ける可能性があります。
(CVE-2016-0797)
SRP_VBASE_get_by_user の実装に問題が発見されました。
メモリリークにより、DoS (メモリ消費) 状態にされる可能性があります。
(CVE-2016-0798)
crypto/bio/b_print.c に問題が発見されました。
第三者により、過度に長い文字列を介して、DoS (オーバーフローおよび out-of-bounds read) 状態にされるなど、不特定の影響を受ける可能性があります。
(CVE-2016-0799)
遠隔の攻撃者に、SSLv2 をサポートしているサーバの暗号通信を解読される可能性があります。
SSLv2 をサポートしており、TLS 通信で SSLv2 と同一の証明書を使用している場合、TLS の暗号通信であっても、同様の攻撃を受ける可能性があります。
(CVE-2016-0800)
crypto/evp/encode.c、crypto/evp/evp_enc.c に問題が発見されました。
第三者により、大量のバイナリデータを介して、DoS (ヒープメモリ破損) 状態にされる可能性があります。
(CVE-2016-2105, 2016)
AES-NI の実装に問題が発見されました。
第三者により、重要な平文情報を取得される可能性があります。
当問題は、CVE-2013-0169の修正が不完全だったことによる脆弱性です。
(CVE-2016-2107)
ASN.1 の実装に問題が発見されました。
第三者により、任意のコードを実行される、またはDoS(バッファアンダーフローおよびメモリ破損) 状態にされる可能性があります。
当問題は 1.0.1o で修正されています。
(CVE-2016-2108)
ASN.1 BIO の実装に問題が発見されました。
第三者により、DoS (メモリ消費) 状態にされる可能性があります。
(CVE-2016-2109)
crypto/x509/x509_obj.c に問題が発見されました。
第三者により、巧妙に細工された EBCDIC ASN.1 データを介して、プロセススタックメモリから重要な情報を取得される、またはDoS (バッファオーバーリード) 状態にされる可能性があります。
(CVE-2016-2176)
今回の更新により openssl は 1.0.1t ベースにアップデートされます。
CVE-2016-0800 の対策により SSLv2 プロトコルが無効化されています。
これにより、以下のパッケージが同時に更新されます。
apache2
curl
wget
fetchmail (VinePlusパッケージ)
- 修正済パッケージ/ファイル:
-
[ size ] [ SHA1 checksum ] [ file name ] 4570579 b43b151030ae67b7b5f9bf0efb9268a5c6e540f6 openssl-1.0.1t-1vl6.src.rpm 1832202 6945138fa95e5784cba8ef3a172b90319be9fc2e openssl-1.0.1t-1vl6.i686.rpm 1329945 8696d87531731b144258b4f5ea4eed07422469b3 openssl-devel-1.0.1t-1vl6.i686.rpm 28002 e5d3eefae0feaf606a3504a2eae69ada2b3ceece openssl-perl-1.0.1t-1vl6.i686.rpm 1139853 03e33d96f37752f89dfd2aea8acb7ad044065a69 openssl-static-1.0.1t-1vl6.i686.rpm 1952707 0780150343e8110b3377dff6628a7f5114ed5744 openssl-1.0.1t-1vl6.x86_64.rpm 1329967 47945efd8016e90420a5d31797695b6cc1212c20 openssl-devel-1.0.1t-1vl6.x86_64.rpm 27974 cdd7104c1c81114dfb1619d1fdea0c93f50252a5 openssl-perl-1.0.1t-1vl6.x86_64.rpm 1251819 1d11cc869d0ed863e2a30cd39e10e78c0ed05392 openssl-static-1.0.1t-1vl6.x86_64.rpm 977411 3664b677169e0b1a8a8fc44b1befac443e986ef6 compat32-openssl-1.0.1t-1vl6.i686.rpm 18296 743bdb3e8316866c5da3d5144a757f97d72ca094 compat32-openssl-devel-1.0.1t-1vl6.i686.rpm 5671635 76d8bbf81ae9fecf4bb13eb898ce6092b8ae55e4 apache2-2.2.31-2vl6.src.rpm 1250634 9f7c04c316803d70a5a4446778e87ae1400da194 apache2-2.2.31-2vl6.i686.rpm 155174 0aef6e1e4eba0d7fa4ecbbba7422eaa70c4990be apache2-devel-2.2.31-2vl6.i686.rpm 2920607 28337206060e7b636a93838d8a04af15ea326c9d apache2-manual-2.2.31-2vl6.i686.rpm 105873 11f21439bbcd3b29ca6a17f6493ea04a43117e2c mod_ssl-apache2-2.2.31-2vl6.i686.rpm 1276662 093b19b48b5d976493d6d63977ae5eac6c122373 apache2-2.2.31-2vl6.x86_64.rpm 155108 b87ae663049acc5a984c910dd5101134fde70852 apache2-devel-2.2.31-2vl6.x86_64.rpm 2920448 a906e3924596bb1f8533e6fce2468b8d02b027b4 apache2-manual-2.2.31-2vl6.x86_64.rpm 106035 1adb0123ee8cedd97c2add192777471c2c244c24 mod_ssl-apache2-2.2.31-2vl6.x86_64.rpm 2268755 4c6b5130373b1f511bc9b9c0981a831de2d47d75 curl-7.32.0-10vl6.src.rpm 599235 9aa67ef891852944c620b372cd2b9416c5c07f42 curl-7.32.0-10vl6.i686.rpm 209732 0211417a52355eaf627166c94bfdc4515e7d97bf curl-devel-7.32.0-10vl6.i686.rpm 593447 da804d586280bf015b73269973fe3f5a7343b91a curl-7.32.0-10vl6.x86_64.rpm 209673 f463811f58ec6f9bdd5d29fb606633794e3c45d4 curl-devel-7.32.0-10vl6.x86_64.rpm 205083 4fdae60ad4ff81c10e27b66e1c85d6e74a26b2bf compat32-curl-7.32.0-10vl6.i686.rpm 10563 585845f7996c3aaea31ae9b034057e49e299ef21 compat32-curl-devel-7.32.0-10vl6.i686.rpm 1603486 43a8fe9336f9ae5dae30e365ea0f04a00e30d783 wget-1.14-4vl6.src.rpm 821853 229ef9267d43294c61ea1588f161e2e91625678b wget-1.14-4vl6.i686.rpm 826532 7bb66f38a7b539562989d10c51ce96f39a3fe7ab wget-1.14-4vl6.x86_64.rpm - 入手先:
- update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update # apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトのVine-6.3/updates/RPMS/i386 Vine-6.3/updates/RPMS/x86_64
からも個別に入手することができます。 - 関連URL:
- https://www.openssl.org/news/secadv/20160301.txt
- https://www.openssl.org/news/secadv/20160503.txt
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0702
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0797
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0798
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0799
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0800
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2106
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2108
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001554.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001612.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001613.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001614.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001615.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002472.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002473.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002475.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002476.html
- http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002477.html
