偵測

MiracleLinux 4 : openssl098e-0.9.8e-20.AXS4.1 (AXSA:2016-127:01)

medium Nessus Plugin ID 289775

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝一個受到 AXSA:2016-127:01 公告中所提及的多個弱點影響的套件。

 OpenSSL 工具組為機器提供安全的通訊支援。OpenSSL 包含憑證管理工具,以及可提供多種密碼編譯演算法和通訊協定的共用程式庫。提供此 OpenSSL 套件版本是為了與前版 Red Hat Enterprise Linux 相容。
 此版本修正的安全性問題
 CVE-2015-0293 在 OpenSSL 0.9.8zf 之前的版本、 1.0.0 1.0.0r 之前的 版、 1.0.1 1.0.1m 之前的 版和 1.0.2a 之前的 版 1.0.2 中SSLv2 實作允許遠端攻擊者造成拒絕服務 (s2_lib.c 宣告失敗和程序exit) 透過特製的 CLIENT-MASTER-KEY 訊息。
 CVE-2015-3197 ssl/s2_srvr.c 在 OpenSSL 1.0.1r 之前的 版 1.0.1 和 1.0.2f 之前的 版 1.0.2 中未禁止使用已停用的密碼這會讓攔截式攻擊者更容易透過執行SSLv2 流量的運算其與 get_client_master_key 和 get_client_hello 函式相關。
 CVE-2016-0703 在 OpenSSL 0.9.8zf 之前的版本、 1.0.0 1.0.0r 之前的 、 1.0.1 1.0.1m 之前的 以及 1.0.2a 之前的 1.0.2 中SSLv2 實作的 s2_client_master_key 函式接受非零 CLIENT-MASTER-KEY CLEAR -任意密碼的 KEY-LENGTH 值可讓攔截式攻擊者利用 Bleichenbacher RSA padding oracle 判斷 MASTER-KEY 值並解密 TLS 加密文字資料這是與 CVE-2016-0800相關的問題。
 CVE-2016-0704 在 OpenSSL 0.9.8zf 之前的版本、 1.0.11.0.0 1.0.0r 之前的 版、1.0.1m 之前的 以及 1.0.2 1.0.2a 之前的 版中SSLv2 實作的 SSLv2 實作中s2_srvr.c 的 get_client_master_key 函式有一個 oracle 保護機制會覆寫不正確的 MASTER-在使用匯出加密套件期間的 KEY 位元組這會讓遠端攻擊者更容易利用 Bleichenbacher RSA padding oracle 解密 TLS 加密文字資料這是與 CVE-2016-0800相關的問題。
 CVE-2016-0800 如 1.0.1s 之前的 OpenSSL 和 1.0.2g 之前的 1.0.2 及其他產品所使用的 SSLv2 通訊協定需要伺服器先傳送 ServerVerify 訊息才能確定某個用戶端處理特定純文字 RSA 資料這可讓遠端攻擊者利用 Bleichenbacher RSA padding oracle 來解密 TLS 加密文字資料亦即 DROWN 攻擊。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 openssl098e 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/6513

Plugin 詳細資訊

嚴重性: Medium

ID: 289775

檔案名稱: miracle_linux_AXSA-2016-127.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

Vendor

Vendor Severity: High

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2016-0800

CVSS v3

風險因素: Medium

基本分數: 5.9

時間性分數: 5.2

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:openssl098e, cpe:/o:miracle:linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/3/9

弱點發布日期: 2015/3/2

參考資訊

CVE: CVE-2015-0293, CVE-2015-3197, CVE-2016-0703, CVE-2016-0704, CVE-2016-0800