openssl097a-0.9.7a-12.AXS3.1
エラータID: AXSA:2014-382:01
リリース日:
2014/06/09 Monday - 13:34
題名:
openssl097a-0.9.7a-12.AXS3.1
影響のあるチャネル:
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- OpenSSL には, OpenSSL が ChangeCipherSpec メッセージの処理を適切に制限しておらず,巧妙に細工された TLS ハンドシェークによって,中間者攻撃を行う攻撃者が特定の OpenSSL-to-OpenSSL のやりとりで長さ 0 のマスターキーを使用することをきっかけにして,セッションをハイジャックする,あるいは機密情報を取得する脆弱性があります。(CVE-2014-0224)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2014-0224
OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h does not properly restrict processing of ChangeCipherSpec messages, which allows man-in-the-middle attackers to trigger use of a zero-length master key in certain OpenSSL-to-OpenSSL communications, and consequently hijack sessions or obtain sensitive information, via a crafted TLS handshake, aka the "CCS Injection" vulnerability.
OpenSSL before 0.9.8za, 1.0.0 before 1.0.0m, and 1.0.1 before 1.0.1h does not properly restrict processing of ChangeCipherSpec messages, which allows man-in-the-middle attackers to trigger use of a zero-length master key in certain OpenSSL-to-OpenSSL communications, and consequently hijack sessions or obtain sensitive information, via a crafted TLS handshake, aka the "CCS Injection" vulnerability.
追加情報:
N/A
ダウンロード:
SRPMS
- openssl097a-0.9.7a-12.AXS3.1.src.rpm
MD5: e28916196405bf48b3580a50ebca0c6e
SHA-256: 7a36cfae1c89b2f105d0eed841672cddd2325090a070da3ad4dbc35801836477
Size: 2.65 MB
Asianux Server 3 for x86
- openssl097a-0.9.7a-12.AXS3.1.i386.rpm
MD5: 0c16196c117adb01d597127865025d77
SHA-256: 8fa06f11285fa75b70df22879c6572456620dd022c504d9ff1cc7702bf261e72
Size: 822.75 kB
Asianux Server 3 for x86_64
- openssl097a-0.9.7a-12.AXS3.1.x86_64.rpm
MD5: d40e1786bfd98efe4539b2c6d3f4d0d8
SHA-256: 1604b4e169b0e134df6a5ef3718d033bfdb8ec34fdcab3a93221b9b2370999f1
Size: 823.74 kB