openssl-1.0.1e-30.AXS4.7

以下項目について対処しました。

[Security Fix]
- OpenSSL の crypto/ec/ec_asn1.c の d2i_ECPrivateKey 関数には，使用後解放脆弱性が存在し，不正な楕円曲線暗号 (EC) 秘密鍵ファイルによって，リモートの攻撃者がサービス拒否 (メモリ破壊とアプリケーションのクラッシュ) を引き起こす，あるいは詳細不明の影響を引き起こす脆弱性があります。(CVE-2015-0209)

- OpenSSL の crypto/asn1/a_type.c の ASN1_TYPE_cmp 関数は，ブーリアン型の比較を適切に行っておらず，証明書検証機能を用いたエンドポイントに渡す巧妙に細工された X.509 証明書によって，サービス拒否 (不正な読み込み操作とアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2015-0286)

- OpenSSL の crypto/asn1/tasn_dec.c の ASN1_item_ex_d2i 関数は，CHOICE と ADB データ構造を再初期化しておらず，ASN.1 構造体の再利用を信頼するアプリケーションを使用することによって，攻撃者がサービス拒否 (不正な書き込み操作とメモリ破壊) を引き起こす脆弱性があります。(CVE-2015-0287)

- OpenSSL の PKCS#7 の実装は外部の ContentInfo が欠けているのを適切に処理できず，任意の PKCS#7 データを処理するアプリケーションを使用することによって，また ASN.1 エンコーディングを持つ不正なデータを提供することによって，攻撃者がサービス拒否 (ヌルポインタデリファレンスとアプリケーションのクラッシュ) を引き起こす脆弱性があります。(CVE-2015-0289)

- OpenSSL の base64 デコード実装の crypto/evp/encode.c の EVP_DecodeUpdate 関数には整数アンダーフローが存在し，バッファーオーバーフローを引き起こす，巧妙に細工されたbase64 データによって，リモートの攻撃者がサービス拒否 (メモリ破壊) を引き起こす，あるいは他の影響を与える可能性のある脆弱性があります。(CVE-2015-0292)

- OpenSSL の SSLv2 の実装には，巧妙に細工された CLIENT-MASTER-KEY メッセージによって，リモートの攻撃者がサービス拒否 (s2_lib.c のアサーション失敗とデーモンの終了) を引き起こす脆弱性があります。(CVE-2015-0293)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/