[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[ORCA-ANNOUNCE:02348] セキュリティ情報◆[OSA 2011-015] openssl
- To: "orca-announce@xxxxxxxxxxxxxx" <orca-announce@xxxxxxxxxxxxxx>
- Subject: [ORCA-ANNOUNCE:02348] セキュリティ情報◆[OSA 2011-015] openssl
- From: ORCAプロジェクトからのお知らせ <orca-announce@xxxxxxxxxxxxxx>
- Date: Fri, 12 Aug 2011 11:00:16 +0900
ORCAサポートセンタです。いつもお世話になっています。
本日、下記、セキュリティアップデートパッケージを提供しました。
---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2011-015 security _at_ orca.med.or.jp
http://www.orca.med.or.jp/orca/security/ 2011/08/12
---------------------------------------------------------------------------
Package : openssl
Vulnerability : SSL/TLS の、安全でない再ネゴシエーション関係設計ミス
Problem type : リモート
Debian-specific : いいえ
CVE ID : CVE-2009-3555 CVE-2010-4180
CVE-2009-3555:
Marsh Ray, Steve Dispensa, および Martin Rex の各氏により TLSおよび SSLv3
プロトコルに欠陥が発見されました。攻撃者が TLSコネクションの開始時に中間者攻
撃を行える状況下で、攻撃者がユーザのセッションの冒頭に任意のコンテンツを注入
可能です。この更新は、この問題に対処した新しい RFC5746 再ネゴシエーション機
能拡張をバックポートしてサポートするものです。
CVE-2010-4180:
更に、この更新ではクライアントが、サーバで指定した利用する暗号アルゴ
リズムの設定を迂回できる欠陥が修正されています。
ディストリビューション(etch)では、この問題はバージョン
0.9.8c-4orca.etch14で修正されています。Ubuntu 8.10(hardy)では
USN-990-1/USN-1029-1で対応されています。
直ぐにパッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。
deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free
apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
Debian GNU/Linux 4.0 alias etch
---------------------------------
ソースアーカイブ:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch14.dsc
Size/MD5 checksum: 582 881cdb697c9a10cafeb11bf770f473bc
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c.orig.tar.gz
Size/MD5 checksum: 3313857 78454bec556bcb4c45129428a766c886
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch14.diff.gz
Size/MD5 checksum: 89015 4b6aac5eb88ef29a75dc2355412704c4
Intel IA-32 アーキテクチャ:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch14_i386.deb
Size/MD5 checksum: 1013676 41845a82835956944c15a95e7c0f9fdd
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl0.9.8_0.9.8c-4orca.etch14_i386.deb
Size/MD5 checksum: 2734048 79ce12fa88126353b89420b8fb530757
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl-dev_0.9.8c-4orca.etch14_i386.deb
Size/MD5 checksum: 2095620 4cc4080172cb2aca49d3de124c49a1c3
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4orca.etch14_i386.deb
Size/MD5 checksum: 5636284 ed97ea304e2dd0d29b3567314bb5d8fe
これらのファイルは次のアップデートがリリースされると削除されます。
--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358