openssl にセキュリティホール
発行日:2015,02,01
- 対象 (Vine Linuxバージョン):
6.2/i386, 6.2/x86_64
- 内容:
- openssl に複数の問題が発見されました。
BN_sqr の実装に問題が発見されました。
第三者により、暗号保護メカニズムを破られる可能性があります。
(CVE-2014-3570)
DTLS の処理に問題が発見されました。
第三者により、巧妙に細工された DTLS メッセージを介して、DoS 状態にされる可能性があります。
(CVE-2014-3571,CVE-2015-0206)
s3_clnt.c に問題が発見されました。
リモートの SSL サーバにより、ECDHE-to-ECDH ダウングレード攻撃を実行される、および前方秘匿性の喪失を誘発される可能性があります。
(CVE-2014-3572)
証明書データの処理に問題が発見されました。
第三者により、巧妙に細工されたデータを含められることで、指紋ベースの認証ブラックリスト保護メカニズムを破られる可能性があります。
(CVE-2014-8275)
s3_clnt.c に問題が発見されました。
リモートの SSL サーバにより、RSA-to-EXPORT_RSA ダウングレード攻撃を実行される、および総当たり (brute-force) の複合を容易にされる可能性があります。
(CVE-2015-0204)
s3_srvr.c に問題が発見されました。
第三者により、巧妙に細工された TLS Handshake Protocol トラフィックを介して、プライベートキー情報なしでアクセス権を取得される可能性があります。
(CVE-2015-0205)
今回の更新により、openssl は 1.0.0p ベースにアップデートされます。
- 修正済パッケージ/ファイル:
-
[ size ] [ SHA1 checksum ] [ file name ] 4021177 57e2c9684c18b6d1c525d8fdb95ff4bc7a38e8c1 openssl-1.0.0p-1vl6.src.rpm 1765831 e4874255cd692c26c22319f8972bda135b6e1617 openssl-1.0.0p-1vl6.i686.rpm 1276265 6b02a8f96ff69ffd6b7395d82fdcc0e312694b98 openssl-devel-1.0.0p-1vl6.i686.rpm 27084 113c951635b0db19e88b7097364f374d0a581f46 openssl-perl-1.0.0p-1vl6.i686.rpm 1084552 e5051eacbbde784f96091b590ae11062dead1324 openssl-static-1.0.0p-1vl6.i686.rpm 1862750 dc1e834473c55448719b4fefb0aabcd6945a5eb3 openssl-1.0.0p-1vl6.x86_64.rpm 1276335 a0426ef40eed441db249bdde7f3a29d17c8eb8be openssl-devel-1.0.0p-1vl6.x86_64.rpm 27059 8d5d1b646bced2abe9b50ccfbaf675c39eb437fd openssl-perl-1.0.0p-1vl6.x86_64.rpm 1170841 5f630b0e583f6cecdfae06da51044d72a4bdc01d openssl-static-1.0.0p-1vl6.x86_64.rpm 925733 eba0ca1a01bf93d2ccb5233ed2f3f97db89d0a0b compat32-openssl-1.0.0p-1vl6.i686.rpm 17382 1c620c0732c94af31bd42e76adbbb6b53572e869 compat32-openssl-devel-1.0.0p-1vl6.i686.rpm
- 入手先:
- update-watch, synaptic または apt-get でアップグレードすることができます。
# apt-get update # apt-get upgrade
該当するパッケージをインストールしていない場合は、 更新の必要はありません。
また、各ミラーサイトのVine-6.2/updates/RPMS/i386 Vine-6.2/updates/RPMS/x86_64
からも個別に入手することができます。 - 関連URL:
- https://www.openssl.org/news/secadv_20150108.txt
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3570
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3572
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8275
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0205
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0206
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007551.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007552.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007553.html
- http://jvndb.jvn.jp/ja/contents/2014/JVNDB-2014-007554.html
- http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001009.html
- http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001010.html
- http://jvndb.jvn.jp/ja/contents/2015/JVNDB-2015-001011.html