[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[ORCA-ANNOUNCE:02714] セキュリティ情報◆[OSA 2012-015] openssl(etch)

ORCAサポートセンタです。いつもお世話になっています。

本日、下記、セキュリティアップデートパッケージを提供しました。

---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2012-015    security _at_ orca.med.or.jp
http://www.orca.med.or.jp/receipt/update/security/               2012/08/30
---------------------------------------------------------------------------

Package         : openssl
Distribution    : Debian GNU/Linux 4.0(etch)
Vulnerability   : 複数の脆弱性
Problem type    : (ローカル) リモート
Debian-specific : いいえ
CVE ID          : CVE-2011-1945 CVE-2011-3210 CVE-2011-4108 CVE-2011-4109
                  CVE-2011-4576 CVE-2011-4619 CVE-2012-0050 CVE-2012-2110
                  CVE-2012-2131 CVE-2012-2333

CVE-2011-1945
  ECDHE_ECDS 暗号化アルゴリズムに、タイミング攻撃により秘密鍵の解析が容易
  になるという欠陥があります。

CVE-2011-3210
  ephemeral ECDH ciphersuite は、ハンドシェイクメッセージを処理している
  間、スレッドの安全性を確認しないため、サービス運用妨害 (アプリケーションク
  ラッシュ) 状態となる脆弱性が存在します。

CVE-2011-4108
  DTLS 実装では、ある種のパディングが有効であるときのみ MAC チェックを行っ
  ており、その結果リモートの攻撃者からパディングオラクル攻撃による平文の推定
  が容易になっています。

CVE-2011-4109
  X509_V_FLAG_POLICY_CHECK が有効な場合に、メモリの二重解放を起こすバグ
  があり、リモートの攻撃者からポリシィチェックの失敗を引き金とするサービス
  拒否攻撃や、更に任意のコードの実行を許す可能性があります。

CVE-2011-4576
  SSL 3.0 実装ではブロック暗号パディング構造体を適切に初期化していないた
  め、リモートの攻撃者により SSL ピアを介して送信されたパディングデータを
  復号化することにより機密情報の読み出しが行える可能性があります。

CVE-2011-4619
  Server Gated Cryptography (SGC) 実装は適切にハンドシェイク再起動
  を処理していないため、単純 CPU 消費攻撃を不必要に簡単なものとしていま
  す。

CVE-2012-0050
  Antonio Martin さんにより、TLS および関連プロトコル実装 OpenSSL
  にサービス拒否攻撃を実行可能な欠陥が発見されました。悪意を持ったクラ
  イアントから、DTLS サーバ実装をクラッシュ可能です。通常の TCP ベー
  スのTLS は、この問題の影響を受けません。

CVE-2012-2110
  Google Security Team の Tavis Ormandy さんにより、DER 符号化さ
  れた ASN.1 データの処理に欠陥があり、ヒープオーバフローに繋がること
  が発見されました。

CVE-2012-2131
  CVE-2012-2110 に対する OpenSSL の修正が不完全であることが発見され
  ましたのでCVE-2012-2131で対応しています。

CVE-2012-2333
  TLS 1.1, 1.2, DTLS 等で用いられる CBC 暗号化で、明示的に
  与えられる初期化ベクタを適切に扱っていないことが発見されました。この
  結果、整数アンダフローにより計算を誤り不正なメモリアクセスを起こすた
  め、サービス拒否攻撃 (アプリケーションクラッシュ) が可能です。

上記の他に、オランダのDigiNarとマレーシアのDigicertの証明書をブロックするようにして
います。

ディストリビューション(etch)では、この問題はバージョン  0.9.8c-4orca.etch16
で修正されています。

直ぐにパッケージをアップグレードすることを勧めます。

アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。

   deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free

   apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、

   apt-get update
           を実行して内部データベースを更新し、
   apt-get upgrade
     によって修正されたパッケージをインストールしてください。

Debian GNU/Linux 4.0 alias etch
---------------------------------
 ソースアーカイブ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch16.dsc
       Size/MD5 checksum: 583 7945cfc9f64f7c6078fe16cea5c394fd
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c.orig.tar.gz
       Size/MD5 checksum: 3313857 78454bec556bcb4c45129428a766c886
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch16.diff.gz
       Size/MD5 checksum: 101624 81648cf4979502eb5108a7c2106ae5af

 アーキテクチャ非依存コンポーネント:


 Intel IA-32 アーキテクチャ:

    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch16_i386.deb
       Size/MD5 checksum: 1014140 95ed9ec660d733196aaacaf2340cde88
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl0.9.8_0.9.8c-4orca.etch16_i386.deb
       Size/MD5 checksum: 2735292 4b3f93c9d2e77bb3e9739307f67185e5
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl-dev_0.9.8c-4orca.etch16_i386.deb
       Size/MD5 checksum: 2096670 6a14801a7dbfc36a4429e7166dfe9d6e
    http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4orca.etch16_i386.deb
       Size/MD5 checksum: 5640050 bd547fe668ca7487a5636e386c7e3aac

 これらのファイルは次のアップデートがリリースされると削除されます。

--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358