偵測

MiracleLinux 7openssl-1.0.1e-51.el7.7 (AXSA:2016-685:04)

critical Nessus Plugin ID 289904

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝受到多個弱點影響的套件如 AXSA:2016-685:04 公告中所提及。

 OpenSSL 工具組為機器提供安全的通訊支援。OpenSSL 包含憑證管理工具,以及可提供多種密碼編譯演算法和通訊協定的共用程式庫。
 此版本修正的安全性問題
 CVE-2016-2177 1.0.2h 之前的 OpenSSL 未正確使用堆積緩衝區邊界檢查的指標算術其可允許遠端攻擊者造成拒絕服務 (整數溢位和應用程式損毀)或可能利用非預期的 malloc 行為造成其他不明影響此問題與 s3_srvr 有關。 c、ssl_sess.c 和 t1_lib.c。
 CVE-2016-2178 在 1.0.2h 之前的 OpenSSL 版本中crypto/dsa/dsa_ossl.c 所用的 dsa_sign_setup 函式未正確確保使用常數時間作業這會讓本機使用者更容易透過計時旁路攻擊發現 DSA 私密金鑰。
 CVE-2016-2179 在 1.1.0 之前的 OpenSSL 中DTLS 實作未正確限制與未使用亂序訊息相關的佇列項目壽命遠端攻擊者可透過同時維護多個特製 DTLS 工作階段造成拒絕服務 (記憶體消耗)與 d1_lib.c、statem_dtls.c、statem_lib.c 和 statem_srvr.c 相關。
 CVE-2016-2180 在 OpenSSL 1.0.2h 之前的版本中X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) 實作的 crypto/ts/ts_lib.c 中的 TS_OBJ_print_bio 函式允許遠端攻擊者造成拒絕服務 (超出邊界讀取和透過 openssl ts 命令不當處理的特製時間戳記檔案造成應用程式損毀。
 CVE-2016-2181 在 1.1.0 之前的 OpenSSL 中DTLS 實作的反重播功能未正確處理早期使用新 epoch 數及大序號這會允許遠端攻擊者透過透過偽造的 DTLS 記錄與 rec_layer_d1.c 和 ssl3_record.c 相關。
 CVE-2016-2182 在 1.1.0 之前的 OpenSSL 中crypto/bn/bn_print.c 的 BN_bn2dec 函式未正確驗證除法結果其允許遠端攻擊者造成拒絕服務 (超出邊界寫入和應用程式損毀)或可能透過未知向量造成的其他影響。
 CVE-2016-6302 在 1.1.0 之前的 OpenSSL 中ssl/t1_lib.c 的 tls_decrypt_ticket 函式在驗證票證長度時未考量 HMAC 大小其允許遠端攻擊者透過過短的票證造成拒絕服務。
 CVE-2016-6304 在 OpenSSL 1.0.1u 之前的版本、1.0.2i 之前的 版 1.0.2 以及 1.1.0a 之前的 1.1.0 版中t1_lib.c 有多個記憶體洩漏問題允許遠端攻擊者透過大型 OCSP 狀態要求延伸模組造成拒絕服務 (記憶體消耗)。
 CVE-2016-6306 在 OpenSSL 1.0.1u 之前的版本和 1.0.2 1.0.2i 之前的 版本中憑證剖析器允許遠端攻擊者透過特製的憑證作業造成拒絕服務 (超出邊界讀取)此問題與 s3_clnt.c 和 s3_srvr.c 相關。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 openssl、openssl-devel 和/或 openssl-libs 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/7117

Plugin 詳細資訊

嚴重性: Critical

ID: 289904

檔案名稱: miracle_linux_AXSA-2016-685.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: High

CVSS v2

風險因素: High

基本分數: 7.5

時間性分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2016-2182

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:miracle:linux:openssl, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:openssl-libs, p-cpe:/a:miracle:linux:openssl-devel

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2016/9/27

弱點發布日期: 2016/5/5

參考資訊

CVE: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-6302, CVE-2016-6304, CVE-2016-6306