AXSA:2016-127:01

リリース日: 
2016/03/09 Wednesday - 13:05
題名: 
openssl098e-0.9.8e-20.AXS4.1
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- OpenSSL の SSLv2 実装には,巧妙に細工された CLIENT-MASTER-KEY メッ
セージによって,リモートの攻撃者がサービス拒否 (s2_lib.c のアサーション
失敗とデーモンの終了) を引き起こす脆弱性があります。(CVE-2015-0293)

- OpenSSL の ssl/s2_srvr.c は,無効にされた暗号の使用を妨げておらず,
SSLv2 トラフィックに対して計算を行うことにより,中間者攻撃を行う
攻撃者が暗号保護メカニズムを無効にしやすくする脆弱性があります。
(CVE-2015-3197)

- SSLv2 実装の s2_srvr.c の get_client_master_key 関数には,任意の
暗号に対して 0 以外の CLIENT-MASTER-KEY CLEAR-KEY-LENGTH 値を受け
付けてしまい,Bleichenbacher RSA パディングオラクル攻撃を行うことに
よって,中間者攻撃を行う攻撃者が MASTER-KEY 値を特定し,TLS 暗号テキ
ストのデータを復号化する脆弱性があります。
この脆弱性は CVE-2016-0800 と関連する問題です。(CVE-2016-0703)

- オラクル保護メカニズムには,輸出グレードの暗号スイートの使用中に
誤った MASTER-KEY バイトを上書きしてしまい,Bleichenbacher RSA パディ
ングオラクル攻撃を使用することによって,リモートの攻撃者が TLS 暗号
テキストデータを復号化しやすくする脆弱性があります。
この脆弱性は CVE-2016-0800 に関連する問題です。(CVE-2016-0704)

- OpenSSL で使用される SSLv2 には,ある平文の RSA データをクライアントが
所有しているということを検証せずにサーバからクライアントに対して
ServerVerify メッセージを送信することを要求しており,Bleichenbacher
RSA パディングオラクル攻撃によって,リモートの攻撃者が TLS 暗号テキストを
復号化しやすくする脆弱性があります。(CVE-2016-0800)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. openssl098e-0.9.8e-20.AXS4.1.src.rpm
    MD5: 32dec585d26af1706ea3f2f50b222726
    SHA-256: 17e0c0a480118747575bc2197aa834277cc3920ff91e9429858c8572c4b92219
    Size: 2.96 MB

Asianux Server 4 for x86
  1. openssl098e-0.9.8e-20.AXS4.1.i686.rpm
    MD5: eccb3a97f7fe0a12f230650c8048429d
    SHA-256: 5a3e60cf23403e898bb351fcfbabda9929c666280cb9c3eedfeadf21842edcde
    Size: 773.15 kB

Asianux Server 4 for x86_64
  1. openssl098e-0.9.8e-20.AXS4.1.x86_64.rpm
    MD5: 38bafdfd8d1eb88b6a762622fa26ae8d
    SHA-256: 117ae663c307092bcdba022c6daafa35cb84463f98506364105c60b0bffc8a20
    Size: 760.83 kB
  2. openssl098e-0.9.8e-20.AXS4.1.i686.rpm
    MD5: eccb3a97f7fe0a12f230650c8048429d
    SHA-256: 5a3e60cf23403e898bb351fcfbabda9929c666280cb9c3eedfeadf21842edcde
    Size: 773.15 kB
Copyright© 2007-2015 Asianux. All rights reserved.