openssl-0.9.8e-12.AXS3.7
エラータID: AXSA:2010-510:02
リリース日:
2010/12/16 Thursday - 20:41
題名:
openssl-0.9.8e-12.AXS3.7
影響のあるチャネル:
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- OpenSSL は SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG が有効の場合, セッションキャッシュ内の暗号スイートの変更を妨げないために, リモートの攻撃者が無効な暗号を使用させる脆弱性があります。
なお, この脆弱性は CVE-2010-4180 と異なる脆弱性です。(CVE-2008-7270)
- OpenSSL は SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG が有効な場合, セッションキャッシュ内の暗号スイートの変更を適切に妨げないため, セッションID を発見するためにネットワークのトラフィックを盗聴することでリモートの攻撃者が弱い暗号を使用させる脆弱性があります。(CVE-2010-4180)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2008-7270
OpenSSL before 0.9.8j, when SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG is enabled, does not prevent modification of the ciphersuite in the session cache, which allows remote attackers to force the use of a disabled cipher via vectors involving sniffing network traffic to discover a session identifier, a different vulnerability than CVE-2010-4180.
OpenSSL before 0.9.8j, when SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG is enabled, does not prevent modification of the ciphersuite in the session cache, which allows remote attackers to force the use of a disabled cipher via vectors involving sniffing network traffic to discover a session identifier, a different vulnerability than CVE-2010-4180.
CVE-2010-4180
OpenSSL before 0.9.8q, and 1.0.x before 1.0.0c, when SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG is enabled, does not properly prevent modification of the ciphersuite in the session cache, which allows remote attackers to force the downgrade to an unintended cipher via vectors involving sniffing network traffic to discover a session identifier.
OpenSSL before 0.9.8q, and 1.0.x before 1.0.0c, when SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG is enabled, does not properly prevent modification of the ciphersuite in the session cache, which allows remote attackers to force the downgrade to an unintended cipher via vectors involving sniffing network traffic to discover a session identifier.
追加情報:
このアップデートを行うことで, SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG オプションが無効になり, この回避策も使用できなくなります。
ダウンロード:
SRPMS
- openssl-0.9.8e-12.AXS3.7.src.rpm
MD5: 9ff0c2f515241fa1e9913e7db375f09d
SHA-256: 58588718b3053615b03d0c4f02b2b1d60d7319ce45803ff18cc2c32287d9c8e8
Size: 3.10 MB
Asianux Server 3 for x86
- openssl-0.9.8e-12.AXS3.7.i686.rpm
MD5: 85300b60d620b08de2410f0cd7dc7d2e
SHA-256: 8674ea3f784b0d3327e8aa8a6baa3817f46245c2a5650581f3c0ef115ddf7e8e
Size: 1.44 MB - openssl-0.9.8e-12.AXS3.7.i386.rpm
MD5: b7e1a5f9df896050441a4b8ef407c16d
SHA-256: 7d37a749129d060af2b47e698a4ba3c288d33559427a436faee5fef920784c9f
Size: 1.45 MB - openssl-devel-0.9.8e-12.AXS3.7.i386.rpm
MD5: bdd4d2ed931126afaa4fb1cab404f5d9
SHA-256: a2f247b04bf59d0a6ff016f60a884f622a60f8271837196c3c649265a22439b0
Size: 1.90 MB - openssl-perl-0.9.8e-12.AXS3.7.i386.rpm
MD5: 125fabdce7548752f3a53ba6c519fc6e
SHA-256: d61f57b47b2b6d5c6c18b695b0bfd88ab9944c490259bf25ebae6d4d4c5ca5e3
Size: 34.98 kB
Asianux Server 3 for x86_64
- openssl-0.9.8e-12.AXS3.7.x86_64.rpm
MD5: 80a86aee0fd6c2b9527077a9cf56e79f
SHA-256: b09ae7f40da80d1a5a15219605a1da6c2cf1d43673a6d5b952a8262249dcb2d5
Size: 1.44 MB - openssl-devel-0.9.8e-12.AXS3.7.x86_64.rpm
MD5: 926b5d0495bc39d7bb7baad7c84e80b3
SHA-256: 8da1f715a25211db855ff31ea415789a750a248ffa720ff26fa42d08e2eb22eb
Size: 1.88 MB - openssl-perl-0.9.8e-12.AXS3.7.x86_64.rpm
MD5: 8f5da84c37a2c8179b1a2e79ed50b2a7
SHA-256: e8686c4803b71974e3d9af9a7daeb97c678b7d55e8ced069129274e745f1e431
Size: 34.94 kB