MiracleLinux 4 : openssl-1.0.0-10.AXS4 (AXSA:2011-715:01)
critical Nessus Plugin ID 283974
語言:
概要
遠端 MiracleLinux 主機缺少安全性更新。說明
遠端 MiracleLinux 4 主機已安裝受 AXSA:2011-715:01 公告中所提及一個弱點影響的套件。OpenSSL 工具組為機器提供安全的通訊支援。OpenSSL 包含憑證管理工具,以及可提供多種密碼編譯演算法和通訊協定的共用程式庫。
此版本修正的安全性問題
在 OpenSSL 0.9.8h 至 0.9.8q 和 1.0.0 至 1.0.0c 中的CVE-2011-0014 ssl/t1_lib.c 允許遠端攻擊者透過格式錯誤的觸發超出邊界記憶體存取的 ClientHello 交握訊息亦即 OCSP 裝訂弱點。
修正的錯誤:
- 修正 OCSP 裝訂弱點
- 更正 README.FIPS 文件
- 新增 -x931 參數至 openssl genrsa 命令以使用 ANSI X9.31 金鑰產生方法
- 使用 FIPS-186-3 方法產生 DSA 參數
- 新增 OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW 環境變數以允許在系統處於維護狀態時使用 MD5即使 /proc fips 旗標已開啟也一樣
- 使 openssl pkcs12 命令依預設在 FIPS 模式下運作
- 在 s_server 中在 ipv6 萬用字元上接聽因此我們接受來自 ipv4 和 ipv6 的連線
- 修正 openssl 速度命令使其可用於 FIPS 模式 (允許 FIPS 的密碼)
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 openssl 和/或 openssl-devel 套件。另請參閱
Plugin 詳細資訊
嚴重性: Critical
ID: 283974
檔案名稱: miracle_linux_AXSA-2011-715.nasl
版本: 1.1
類型: local
已發布: 2026/1/14
已更新: 2026/1/14
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
Vendor
Vendor Severity: High
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 評分資料來源: CVE-2011-0014
CVSS v3
風險因素: Critical
基本分數: 9.1
時間性分數: 7.9
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:miracle:linux:openssl, p-cpe:/a:miracle:linux:openssl-devel, cpe:/o:miracle:linux:4
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2011/12/29
弱點發布日期: 2011/2/8
參考資訊
CVE: CVE-2011-0014