openssl にセキュリティホール
発行日:2014,06,16
- 対象 (Vine Linuxバージョン):
6.2/i386, 6.2/x86_64
- 内容:
- openssl に複数の問題が発見されました。
SSL_MODE_RELEASE_BUFFERS が有効な場合、第三者により、マルチスレッド環境での SSL 接続を介して、セッション間でデータを挿入される、またはDoS (Use-after-free および構文解析エラー) 状態にされる可能性があります。
(CVE-2010-5298)
第三者により、過度に長い non-initial フラグメントを介して、任意のコードを実行される、またはDoS (バッファオーバーフローおよびアプリケーションクラッシュ) 状態にされる可能性があります。
(CVE-2014-0195)
SSL_MODE_RELEASE_BUFFERS が有効な場合、第三者により、アラートの状態を誘発する要素を介して、DoS (NULL ポインタデリファレンスおよびアプリクラッシュ) 状態にされる可能性があります。
(CVE-2014-0198)
第三者により、無効な DTLS ハンドシェイクの DTLS hello メッセージを介して、DoS (再帰およびクライアントクラッシュ) 状態にされる可能性があります。
(CVE-2014-0221)
ChangeCipherSpecメッセージの処理に問題が発見されました。
サーバとクライアント間の SSL/TLS 通信が、中間者攻撃によって解読されたり、改ざんされたりする可能性があります。
(CVE-2014-0224)
第三者により、NULL の証明書の値を誘発されることで、DoS (NULL ポインタデリファレンスおよびクライアントクラッシュ) 状態にされる可能性があります。
(CVE-2014-3470)
今回の更新により、openssl は 1.0.0m にアップデートされます。
- 修正済パッケージ/ファイル:
-
[ size ] [ SHA1 checksum ] [ file name ] 4066748 3839063f862c37fd41239cbe8e8da3072559c001 openssl-1.0.0m-1vl6.src.rpm 1758085 046c074165ee70b8c78d62d2b9dd1cdfb48de80b openssl-1.0.0m-1vl6.i686.rpm 1271265 0b143f2bd4ac5e528e29c304a28606595547d26f openssl-devel-1.0.0m-1vl6.i686.rpm 26745 44ab897953f42d7be8b1386d82b936d697ab2bf4 openssl-perl-1.0.0m-1vl6.i686.rpm 1080985 9848628cdd0c62055f38f09caab8bfdc687ed080 openssl-static-1.0.0m-1vl6.i686.rpm 923453 77ae503702c1256d3fed3cdfcd1102db443f131e compat32-openssl-1.0.0m-1vl6.i686.rpm 17053 a2ff11c9370c3fcdc8ca7234603c9f44611ab44c compat32-openssl-devel-1.0.0m-1vl6.i686.rpm 1856971 2c15706f495fe383402bea46675e6283fb73af19 openssl-1.0.0m-1vl6.x86_64.rpm 1271265 e125df0ffb510806b98c654bf5c59e315d19bbc9 openssl-devel-1.0.0m-1vl6.x86_64.rpm 26711 792676ce0251b32e1419166e19997716ae3991d8 openssl-perl-1.0.0m-1vl6.x86_64.rpm 1167426 ac7ff40d0cd68b253e8ef9adf728cce4c3611106 openssl-static-1.0.0m-1vl6.x86_64.rpm
- 入手先:
- update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update # apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトのVine-6.2/updates/RPMS/i386 Vine-6.2/updates/RPMS/x86_64
からも個別に入手することができます。 - 関連URL:
- http://www.openssl.org/news/secadv_20140605.txt
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-5298
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0195
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0198
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0221
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
- http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-005667.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-000048.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002392.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002765.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002766.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-002767.html