openssl にセキュリティホール
発行日:2012,01,24
- 対象 (Vine Linuxバージョン):
6.0/i386, 6.0/x86_64
- 内容:
- OpenSSL の DTLS 実装に問題が発見されました。
特定のパディングが有効である場合のみ MAC のチェックを実行するため、平文を復元される可能性があります。
(CVE-2011-4108, CVE-2012-0050)
OpenSSL の SSL 3.0 の処理に問題が発見されました。
SSL 3.0 のレコード・プロトコルでブロック暗号の padding をクリア漏れしていたため、メモリーに書いてあったデータが 通信当事者に漏洩してしまう恐れがあります。
(CVE-2011-4576)
OpenSSL の RFC3779 の処理に問題が発見されました。
巧妙に作られた RFC3779 データを用いて、DoS 攻撃が行える可能性があります。
(CVE-2011-4577)
SGC の処理に問題が発見されました。
ハンドシェークを restart すると DoS 攻撃が行える可能性があります。
(CVE-2011-4619)
GOST 共通鍵暗号アルゴリズムに問題が発見されました。
パラメータの検査が不十分だったため、DoS 攻撃が行える可能性があります。
(CVE-2012-0027)
今回の更新により、openssl は 1.0.0g にアップデートされます。
また、同時に報告されている CVE-2011-4109 は OpenSSL 0.9.8x が対象のため、Vine 6 では非該当です。
- 修正済パッケージ/ファイル:
-
[ size ] [ SHA1 checksum ] [ file name ] 4213172 27389b9f2e41756dcbea70ee3887e734feff3e79 openssl-1.0.0g-1vl6.src.rpm 1897165 669846a215b0b4dcd358438b7bb369479a28f15b openssl-1.0.0g-1vl6.i686.rpm 1267827 f65b61a8e9f339a8920d2b3647a6661274622eca openssl-devel-1.0.0g-1vl6.i686.rpm 25738 3eef282451b52fd07ed9da28fd0c1eff262f5ed9 openssl-perl-1.0.0g-1vl6.i686.rpm 1073859 233d640f895f0a81632d7e55cfceb34285931e39 openssl-static-1.0.0g-1vl6.i686.rpm 1995766 da1b4d037ee45fc310a91a137b439c41c2d0f4bb openssl-1.0.0g-1vl6.x86_64.rpm 1267908 1a99be06c21e51a6998a935c000ddc32f23b4ab9 openssl-devel-1.0.0g-1vl6.x86_64.rpm 25703 fab458e38fe486f24f5a4cfb171ff4f889fc8014 openssl-perl-1.0.0g-1vl6.x86_64.rpm 1159552 d09d62143e0185faedaf4311b17af2c682ce0c5e openssl-static-1.0.0g-1vl6.x86_64.rpm 916995 206e63daf7f404fd0ef678c79049d7781a48c8f2 compat32-openssl-1.0.0g-1vl6.i686.rpm 15959 9e5d74ef25b4dc1aa52e5b68ba635f8dc8a9394d compat32-openssl-devel-1.0.0g-1vl6.i686.rpm
- 入手先:
- update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update # apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトのVine-6.0/updates/RPMS/i386 Vine-6.0/updates/RPMS/x86_64
からも個別に入手することができます。 - 関連URL:
- http://www.st.ryukoku.ac.jp/~kjm/security/memo/2012/01.html#20120106_OpenSSL
- https://www.openssl.org/news/secadv_20120104.txt
- https://www.openssl.org/news/secadv_20120118.txt
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4108
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4576
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4577
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4619
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0027
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0050