偵測

MiracleLinux 4 : openssl-1.0.1e-16.AXS4.4 (AXSA:2014-071:01)

medium Nessus Plugin ID 289166

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2014-071:01 公告中所提及。

 OpenSSL 工具組為機器提供安全的通訊支援。OpenSSL 包含憑證管理工具,以及可提供多種密碼編譯演算法和通訊協定的共用程式庫。
 CVE-2013-4353 在 OpenSSL 1.0.1 1.0.1f 之前的版本中ssl/s3_both.c 的 ssl3_take_mac 函式允許遠端 TLS 伺服器透過 TLS 交握中特製的 Next Protocol Negotiation 記錄造成拒絕服務 (NULL 指標解除參照與應用程式損毀)。
 CVE-2013-6449 在 1.0.2 之前的 OpenSSL 中ssl/s3_lib.c 的 ssl_get_algorithm2 函式可從錯誤的資料結構取得特定版本號碼進而允許遠端攻擊者透過 TLS 的特製流量造成拒絕服務 (程序損毀) 1.2 用戶端。
 CVE-2013-6450 在 OpenSSL 到 0.9.8y 版和 1.x 到 1.0.1e 版中的 DTLS 重新傳輸實作未正確維護摘要和加密內容的資料結構其可能允許攔截式攻擊者觸發不同內容的使用干擾封包遞送此錯誤與 ssl/d1_both.c 和 ssl/t1_enc.c 有關。
 修正的錯誤:
 作為升級至 1.0.1版的一部分已移除部分共用程式庫符號。這會造成 Ruby 語言 OpenSSL 系結髮生問題。已新增缺少的符號。
 之前openssl 會在 Cyrix CPU 上執行 RDRAND 指示。這些都不受支援且 OpenSSL 會在啟動時損毀。此 Cyrix CPU 偵測已修正OpenSSL 可如預期在 Cyrix CPU 上執行。
 之前傳輸層安全性公告了一些不受支援的橢圓曲線。當伺服器選擇它們時用戶端無法與伺服器通訊。此問題已修正TLS 用戶端現在僅通告支援的曲線。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 openssl 和/或 openssl-devel 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/4505

Plugin 詳細資訊

嚴重性: Medium

ID: 289166

檔案名稱: miracle_linux_AXSA-2014-071.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 5.8

時間性分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:P

CVSS 評分資料來源: CVE-2013-6450

CVSS v3

風險因素: Medium

基本分數: 5.9

時間性分數: 5.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:openssl, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:openssl-devel

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2014/3/18

弱點發布日期: 2013/12/13

參考資訊

CVE: CVE-2013-4353, CVE-2013-6449, CVE-2013-6450

IAVB: 2014-B-0046-S