AXSA:2019-3985:01

リリース日: 
2019/08/14 Wednesday - 02:22
題名: 
openssl-1.0.1e-58.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- アプリケーションが致命的なプロトコルエラーに遭遇し、(close_notify
を送るためと、それを受信するために)SSL_shutdown() を二度呼ぶ場合、
OpenSSL の OpenSSL に対する応答が、0バイトのレコードが誤った
padding で来た場合の応答と、誤った MAC で来た場合とで異なります。
この挙動の違いがリモートのピアに検出可能な場合、データの解読に
利用できる可能性のあるパディングオラクルに相当します。この攻撃を
成立させるためには "スティッチ" されていない暗号スイートが用いられ
ていることが必要です。"スティッチ"されている暗号スイートとは特定の
最適化されている広く用いられている暗号スイートです。さらに、アプリ
ケーションは、プロトコルエラーが起こった際に、二度 SSL_shutdown()
を呼ぶ必要があります(非推奨)。(CVE-2019-1559)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. openssl-1.0.1e-58.AXS4.src.rpm
    MD5: bf7f7305ef6e375899c06a1064392083
    SHA-256: 3aff41d45dfaa0af19c1ce4cc84b87c12e63a0f606355dd1002cc324988e42f6
    Size: 3.12 MB

Asianux Server 4 for x86
  1. openssl-1.0.1e-58.AXS4.i686.rpm
    MD5: e8b3d42144301a87e02829acff81c20d
    SHA-256: ea19d5ed3550ead232fca6a1595c83e4b000f1c3dfc7106cca4378e857ffa103
    Size: 1.52 MB
  2. openssl-devel-1.0.1e-58.AXS4.i686.rpm
    MD5: ff3ca2b1edce483d4259f74d6ac00362
    SHA-256: 4e6e7a220157fe78b8fd1da6e351b52ad3c434c4f01a6bdb9f843fb78f56037e
    Size: 1.17 MB

Asianux Server 4 for x86_64
  1. openssl-1.0.1e-58.AXS4.x86_64.rpm
    MD5: 4762db8aa7e5bd18aee72edaa2edbd46
    SHA-256: a54c2b6c79aac71e84ffa6d988706cd5d75f97600d9afc34ab64d948cea93e22
    Size: 1.53 MB
  2. openssl-devel-1.0.1e-58.AXS4.x86_64.rpm
    MD5: 022f2635dcc2184b06f7ca6adac6fbfa
    SHA-256: 227b145b24b32874e2b99edb9d3519c44f55ed131e83934c103a350d522c0af5
    Size: 1.17 MB
  3. openssl-1.0.1e-58.AXS4.i686.rpm
    MD5: e8b3d42144301a87e02829acff81c20d
    SHA-256: ea19d5ed3550ead232fca6a1595c83e4b000f1c3dfc7106cca4378e857ffa103
    Size: 1.52 MB
  4. openssl-devel-1.0.1e-58.AXS4.i686.rpm
    MD5: ff3ca2b1edce483d4259f74d6ac00362
    SHA-256: 4e6e7a220157fe78b8fd1da6e351b52ad3c434c4f01a6bdb9f843fb78f56037e
    Size: 1.17 MB
Copyright© 2007-2015 Asianux. All rights reserved.