AXSA:2016-460:03

リリース日: 
2016/05/29 Sunday - 13:58
題名: 
openssl-1.0.1e-48.1.0.1.AXS4
影響のあるチャネル: 
Asianux Server 4 for x86_64
Asianux Server 4 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- OpenSSL の crypto/bio/b_print.c の fmtstr 関数は、文字列の長さを適切に計算しておらず、長い文字列によって、リモートの攻撃者がサービス拒否 (オーバーフローと境界外からの読み込み) を引き起こす、あるいは詳細不明な他の影響を与える可能性のある脆弱性があります。この脆弱性はCVE-2016-2842 とは異なる脆弱性です。(CVE-2016-0799)

- OpenSSL の crypto/evp/encode.c の EVP_EncodeUpdate 関数には、整数オーバーフローが存在し、大量のバイナリデータによって、リモートの攻撃者がサービス拒否 (ヒープメモリの破壊) を引き起こす脆弱性があります。(CVE-2016-2105)

- OpenSSL の crypto/evp/evp_enc.c の EVP_EncryptUpdate 関数には、整数オーバーフローが存在し、大量のデータによって、リモートの攻撃者がサービス拒否 (ヒープメモリの破壊) を引き起こす脆弱性があります。(CVE-2016-2106)

- OpenSSL の AES-NI 実装は、特定のパディングチェックの間、メモリ割り当てを考慮しておらず、AES CBC セッションに対するパディングオラクル攻撃によって、リモートの攻撃者が平文の機密情報を取得する脆弱性があります。注:この脆弱性は CVE-2013-0169 に対する誤った修正によって生じたものです。(CVE-2016-2107)

- OpenSSL の ASN.1 実装には、巧妙に細工されたシリアライズされたデータの ANY フィールドによって、リモートの攻撃者が任意のコードを実行する、あるいはサービス拒否 (バッファーアンダーフローとメモリ破壊) を引き起こす脆弱性、別名 "negative zero" があります。(CVE-2016-2108)

- OpenSSL の ASN.1 BIO 実装の crypto/asn1/a_d2i_fp.c の asn1_d2i_read_bio 関数には、短い不正なエンコーディングによって、リモートの攻撃者がサービス拒否 (メモリ消費) を引き起こす脆弱性があります。(CVE-2016-2109)

- OpenSSL の crypto/bio/b_print.c の doapr_outch 関数は、特定のメモリ割り当ての成功を適切に検証しておらず、長い文字列によって、リモートの攻撃者がサービス拒否 (境界外への書き込みあるいはメモリ消費) を引き起こす、あるいは詳細不明な他の影響を与える脆弱性があります。この脆弱性は CVE-2016-0799 とは異なる脆弱性です。(CVE-2016-2842)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. openssl-1.0.1e-48.1.0.1.AXS4.src.rpm
    MD5: e461fdde50f9a17d30284d88c613ed79
    SHA-256: 56ce363fb8c244621130d7bde48f346b84bfc2e60601f95d1fba106901d28d75
    Size: 3.10 MB

Asianux Server 4 for x86
  1. openssl-1.0.1e-48.1.0.1.AXS4.i686.rpm
    MD5: c1eb0d49a7b4d2c1bcfbb7f8f6ce8b75
    SHA-256: 9456d4667795d8ac9acec2aa99fe98077bde4765070ce355de0defd82bd74434
    Size: 1.52 MB
  2. openssl-devel-1.0.1e-48.1.0.1.AXS4.i686.rpm
    MD5: ff5c83e2692f3cef3772c72d3fc76470
    SHA-256: b34ee884a7b2f8d7390dcf604e0516c4563c101bd0a62a1e752d02b900864762
    Size: 1.17 MB

Asianux Server 4 for x86_64
  1. openssl-1.0.1e-48.1.0.1.AXS4.x86_64.rpm
    MD5: 9cd88b1fd31fb26aea58cabaa4218400
    SHA-256: 86751b08fdd51e2eab2430207bab577ecf0e2f25a50102ef361cc1f2bf9eb0db
    Size: 1.52 MB
  2. openssl-devel-1.0.1e-48.1.0.1.AXS4.x86_64.rpm
    MD5: 0ffdc8febac5518c8fad9ee1a990be42
    SHA-256: 6fc205a9b007c27f084dfc9f92f2d20de9f2a6493769f150358d32e1a8c8cd14
    Size: 1.17 MB
  3. openssl-1.0.1e-48.1.0.1.AXS4.i686.rpm
    MD5: c1eb0d49a7b4d2c1bcfbb7f8f6ce8b75
    SHA-256: 9456d4667795d8ac9acec2aa99fe98077bde4765070ce355de0defd82bd74434
    Size: 1.52 MB
  4. openssl-devel-1.0.1e-48.1.0.1.AXS4.i686.rpm
    MD5: ff5c83e2692f3cef3772c72d3fc76470
    SHA-256: b34ee884a7b2f8d7390dcf604e0516c4563c101bd0a62a1e752d02b900864762
    Size: 1.17 MB
Copyright© 2007-2015 Asianux. All rights reserved.