openssl にセキュリティホール
発行日:2014,10,24
- 対象 (Vine Linuxバージョン):
6.2/i386, 6.2/x86_64
- 内容:
- openssl に複数の問題が発見されました。
DTLS の実装に問題が発見されました。
DoS (アプリケーションクラッシュ、メモリ消費) 状態にされる可能性があります。
(CVE-2014-3505, 3506, 3507, 3510)
攻撃者により、X509_name_oneline、X509_name_print_ex および不特定の他の関数の出力を読まれることで、メモリから重要な情報を取得される可能性があります。
(CVE-2014-3508)
ssl_parse_serverhello_tlsext 関数に、競合状態により DoS (メモリの上書きおよびクライアントのアプリケーションクラッシュ) 状態にされるなど、不特定の影響を受ける脆弱性が存在します。
(CVE-2014-3509)
SSL 3.0 により暗号ブロック連鎖 (CBC) モードで暗号化されたメッセージの復号時の処理に問題が発見されました。
中間者攻撃を許す可能性があります。
(CVE-2014-3566)
失敗したセッションチケットの整合性確認処理に問題が発見されました。
リモートの攻撃者に DoS攻撃を許す可能性があります。
(CVE-2014-3567)
no-ssl3 ビルドオプションを指定してもサーバがSSL 3.0 接続を受け付ける問題が修正されました。
(CVE-2014-3568)
今回の更新により openssl は 1.0.0o ベースにアップデートされます。
- 修正済パッケージ/ファイル:
-
[ size ] [ SHA1 checksum ] [ file name ] 4014023 a4fec98d0dfb2624698b8d35cbf473c6eb8b29ae openssl-1.0.0o-1vl6.src.rpm 1763594 15e7df2c9aeaa69b1487d2978b31c3b903879bd6 openssl-1.0.0o-1vl6.i686.rpm 1274818 3037735c39383665d9c73135607866d56ad669bf openssl-devel-1.0.0o-1vl6.i686.rpm 26986 02e110fd932c822b8c137333d8b31e7a0afc26b6 openssl-perl-1.0.0o-1vl6.i686.rpm 1083752 798c249b9df089212c4ea89ea5d5ed5a67e5f3ea openssl-static-1.0.0o-1vl6.i686.rpm 1860907 8b2121c29881aeb74778eb8b2cb5d7de2eb6a955 openssl-1.0.0o-1vl6.x86_64.rpm 1274866 dad5674d9a794d8bceec96be88c50fcf136309ae openssl-devel-1.0.0o-1vl6.x86_64.rpm 26952 ff7f4c6c9fa6f05e84ab2a1a93006958a51fcf78 openssl-perl-1.0.0o-1vl6.x86_64.rpm 1170007 d1c9aa08f5988c576cf6b8e70775b725a6555074 openssl-static-1.0.0o-1vl6.x86_64.rpm 925140 5a50e898d6758c6222191ef2cbe85cf39b3e488c compat32-openssl-1.0.0o-1vl6.i686.rpm 17282 52c159d56e1053ea94441454d2dfa32277b20a59 compat32-openssl-devel-1.0.0o-1vl6.i686.rpm
- 入手先:
- update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update # apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトのVine-6.2/updates/RPMS/i386 Vine-6.2/updates/RPMS/x86_64
からも個別に入手することができます。 - 関連URL:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3505
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3506
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3507
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3508
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3509
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3510
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568
- https://www.openssl.org/news/secadv_20140806.txt
- https://www.openssl.org/news/secadv_20141015.txt