Debian DSA-2454-2:openssl - 多個弱點

high Nessus Plugin ID 58804

概要

遠端 Debian 主機缺少安全性更新。

說明

在 OpenSSL 中發現多個弱點。Common Vulnerabilities and Exposures 專案發現下列問題:

- CVE-2012-0884 Ivan Nestlerode 發現,CMS 和 PKCS #7 實作中有一個弱點,可允許攻擊者透過 Million Message Attack (MMA) 解密資料。

- CVE-2012-1165 據發現,剖析特定 S/MIME 訊息時 NULL 指標可遭解除參照,進而導致拒絕服務。

- CVE-2012-2110 Google 安全性團隊的 Tavis Ormandy 發現,剖析以 DER 編碼的 ASN.1 資料之方式中有一個弱點,其可導致堆積溢位。

此外,CVE-2011-4619 的修正已更新,解決了 SGC 交握的問題。

Red Hat 的 Tomas Hoger 發現,適用於 0.9.8 系列 OpenSSL 的 CVE-2012-2110 修正不完整。此問題已指派到 CVE-2012-2131 識別碼。

解決方案

升級 openssl 套件。

針對穩定的發行版本 (squeeze),這些問題已在 0.9.8o-4squeeze12 版本中修正。

另請參閱

https://security-tracker.debian.org/tracker/CVE-2012-0884

https://security-tracker.debian.org/tracker/CVE-2012-1165

https://security-tracker.debian.org/tracker/CVE-2012-2110

https://security-tracker.debian.org/tracker/CVE-2011-4619

https://security-tracker.debian.org/tracker/CVE-2012-2131

https://packages.debian.org/source/squeeze/openssl

https://www.debian.org/security/2012/dsa-2454

Plugin 詳細資訊

嚴重性: High

ID: 58804

檔案名稱: debian_DSA-2454.nasl

版本: 1.22

類型: local

代理程式: unix

已發布: 2012/4/20

已更新: 2021/1/11

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:openssl, cpe:/o:debian:debian_linux:6.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2012/4/24

參考資訊

CVE: CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2131

BID: 52764, 53158

DSA: 2454