[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[ORCA-ANNOUNCE:02903] セキュリティ情報◆[OSA 2013-013] openssl(etch)
- To: "orca-announce@xxxxxxxxxxxxxx" <orca-announce@xxxxxxxxxxxxxx>
- Subject: [ORCA-ANNOUNCE:02903] セキュリティ情報◆[OSA 2013-013] openssl(etch)
- From: ORCAプロジェクトからのお知らせ <orca-announce@xxxxxxxxxxxxxx>
- Date: Mon, 18 Mar 2013 13:06:01 +0900
ORCAサポートセンタです。いつもお世話になっています。
本日、下記、セキュリティアップデートパッケージを提供しました。
---------------------------------------------------------------------------
ORCA Project Security Advisory OSA 2013-013 security _at_ orca.med.or.jp
http://www.orca.med.or.jp/receipt/update/security/ 2013/03/18
---------------------------------------------------------------------------
Package : openssl
Distribution : Debian GNU/Linux 4.0(etch)
Vulnerability : 複数の脆弱性
Problem type : リモート
Debian-specific : いいえ
CVE ID : CVE-2013-0166 CVE-2013-0169
複数の脆弱性が OpenSSL に見つかりました。The Common Vulnerabilities and
Exposures project は以下の問題を認識しています。
CVE-2013-0166
OpenSSL は OCSP 応答の署名の検証を適切に行っていません。リモートの攻撃者が、
不正な鍵を経由してサービス拒否を引き起こすことが可能です。
CVE-2013-0169
タイミングサイドチャンネル (timing side channel) 攻撃が CBC パディングに
見つかりました。 細工したパッケージの統計的分析を通して、平文の文字列復元を
攻撃者に許します。 これは「Lucky Thirteen」問題とも呼ばれています。
ディストリビューション(etch)では、この問題はバージョン 0.9.8c-4orca.etch17
で修正されています。
直ぐにパッケージをアップグレードすることを勧めます。
アップグレード手順
------------------
ORCAプロジェクトで提供するセキュリティアップデートパッケージを入手するには、
/etc/apt/sources.listファイルに以下の行を追加してください。
deb http://ftp.orca.med.or.jp/pub/etch-updates etch main contrib non-free
apt-get パッケージマネージャを用いている場合には、上記の行を sources.list に加えて、
apt-get update
を実行して内部データベースを更新し、
apt-get upgrade
によって修正されたパッケージをインストールしてください。
Debian GNU/Linux 4.0 alias etch
---------------------------------
ソースアーカイブ:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch17.dsc
Size/MD5 checksum: 582 adaf332ef989316e357143819f8e7786
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c.orig.tar.gz
Size/MD5 checksum: 3313857 78454bec556bcb4c45129428a766c886
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch17.diff.gz
Size/MD5 checksum: 99079 a8d8edbae79bf38c6540e9b4804e9674
Intel IA-32 アーキテクチャ:
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/openssl_0.9.8c-4orca.etch17_i386.deb
Size/MD5 checksum: 1014282 d706bb9eaabff80d73e9f549d9ee3a24
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl0.9.8_0.9.8c-4orca.etch17_i386.deb
Size/MD5 checksum: 2747442 9d6e009d69baba6fb73ee11a3e1ebaa4
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl-dev_0.9.8c-4orca.etch17_i386.deb
Size/MD5 checksum: 2102558 969ac86b77b6c3d50e9b990dff42240a
http://ftp.orca.med.or.jp/pub/etch-updates/pool/main/o/openssl/libssl0.9.8-dbg_0.9.8c-4orca.etch17_i386.deb
Size/MD5 checksum: 5716206 e1537c2fb48cff58381739c071fed941
これらのファイルは次のアップデートがリリースされると削除されます。
これらのファイルは次のアップデートがリリースされると削除されます。
--
ORCA Support Center/JMARI/JMA
http://www.orca.med.or.jp/support/qa/support_form.rhtml
T: 03-5319-4605 D-FAX: 020-4623-1358