openssl-1.0.1e-16.AXS4.4

以下項目について対処しました。

[Security Fix]
- OpenSSL の ssl/s3_both.c の ssl3_take_mac 関数には，TLS ハンドシェイクで巧妙に細工された Next Protocol Negotiation レコードによって，リモートの TLS サーバがサービス拒否 (ヌルポインタ逆参照とアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2013-4353)

- OpenSSL の ssl/s3_lib.c の ssl_get_algorithm2 関数は誤ったデータ構造から特定のバージョン番号を取得し，TLS 1.2 クライアントからの巧妙に細工されたトラフィックによって，リモートの攻撃者がサービス拒否 (デーモンのクラッシュ) を引き起こす脆弱性があります。(CVE-2013-6449)

- OpenSSL の DTLS 再伝送実装はダイジェストと暗号化コンテクストのために適切にデータ構造を保持しておらず，パケット伝達を妨害することによって，中間者攻撃を行う攻撃者が異なったコンテクストを使用するきっかけとなる脆弱性があります。(CVE-2013-6450)

[Bug Fix]
- アップストリームのバージョン 1.0.1 にアップグレードした際に，OpenSSL からいくつかの共有ライブラリのシンボルが削除されたため，これらのシンボルのひとつを使用する Rubyの OpenSSL バインディングに不具合が生じる問題を修正しました。

- OpenSSL のコードが誤って Cyrix CPU でサポートしていない RDRAND 命令を使用してしまい，OpenSSL を使用しているアプリケーションが突然起動時に終了してしまう問題を修正しました。

- TLS クライアントが未サポートの楕円曲線暗号のサポートを広告してしまい，サーバがサポートされていない楕円曲線暗号を選択し，クライアントが TLS上でサーバとやりとりできない問題を修正しました。

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/