openssl にセキュリティホール

発行日:2012,01,24
対象 (Vine Linuxバージョン):

6.0/i386, 6.0/x86_64

内容:
OpenSSL の DTLS 実装に問題が発見されました。
特定のパディングが有効である場合のみ MAC のチェックを実行するため、平文を復元される可能性があります。
(CVE-2011-4108, CVE-2012-0050)

OpenSSL の SSL 3.0 の処理に問題が発見されました。
SSL 3.0 のレコード・プロトコルでブロック暗号の padding をクリア漏れしていたため、メモリーに書いてあったデータが 通信当事者に漏洩してしまう恐れがあります。
(CVE-2011-4576)

OpenSSL の RFC3779 の処理に問題が発見されました。
巧妙に作られた RFC3779 データを用いて、DoS 攻撃が行える可能性があります。
(CVE-2011-4577)

SGC の処理に問題が発見されました。
ハンドシェークを restart すると DoS 攻撃が行える可能性があります。
(CVE-2011-4619)

GOST 共通鍵暗号アルゴリズムに問題が発見されました。
パラメータの検査が不十分だったため、DoS 攻撃が行える可能性があります。
(CVE-2012-0027)

今回の更新により、openssl は 1.0.0g にアップデートされます。
また、同時に報告されている CVE-2011-4109 は OpenSSL 0.9.8x が対象のため、Vine 6 では非該当です。

修正済パッケージ/ファイル:
[ size ] [ SHA1 checksum ]                        [ file name ]
  4213172 27389b9f2e41756dcbea70ee3887e734feff3e79 openssl-1.0.0g-1vl6.src.rpm

  1897165 669846a215b0b4dcd358438b7bb369479a28f15b openssl-1.0.0g-1vl6.i686.rpm
  1267827 f65b61a8e9f339a8920d2b3647a6661274622eca openssl-devel-1.0.0g-1vl6.i686.rpm
    25738 3eef282451b52fd07ed9da28fd0c1eff262f5ed9 openssl-perl-1.0.0g-1vl6.i686.rpm
  1073859 233d640f895f0a81632d7e55cfceb34285931e39 openssl-static-1.0.0g-1vl6.i686.rpm

  1995766 da1b4d037ee45fc310a91a137b439c41c2d0f4bb openssl-1.0.0g-1vl6.x86_64.rpm
  1267908 1a99be06c21e51a6998a935c000ddc32f23b4ab9 openssl-devel-1.0.0g-1vl6.x86_64.rpm
    25703 fab458e38fe486f24f5a4cfb171ff4f889fc8014 openssl-perl-1.0.0g-1vl6.x86_64.rpm
  1159552 d09d62143e0185faedaf4311b17af2c682ce0c5e openssl-static-1.0.0g-1vl6.x86_64.rpm
   916995 206e63daf7f404fd0ef678c79049d7781a48c8f2 compat32-openssl-1.0.0g-1vl6.i686.rpm
    15959 9e5d74ef25b4dc1aa52e5b68ba635f8dc8a9394d compat32-openssl-devel-1.0.0g-1vl6.i686.rpm
入手先:
update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update
# apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトの
Vine-6.0/updates/RPMS/i386
Vine-6.0/updates/RPMS/x86_64
からも個別に入手することができます。
関連URL: