Scientific Linux 安全性更新：SL6.x i386/x86_64 上的 openssl

medium Nessus Plugin ID 61043

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

OpenSSL 不但是實作「安全通訊端層」(SSL v2/v3) 和「傳輸層安全性」(TLS v1) 通訊協定的工具組，還是一套完整的通用密碼編譯程式庫。

OpenSSL 剖析 ClientHello TLS 交握訊息中的 Certificate Status Request TLS 延伸模組時，出現一個緩衝區過度讀取瑕疵。遠端攻擊者可利用此瑕疵，造成使用受影響 OpenSSL 功能的 SSL 伺服器當機。(CVE-2011-0014)

此項更新可修正下列錯誤：

- openssl 在 FIPS (美國聯邦資訊處理標準) 模式中執行時，即使要求了 FIPS 核准的演算法測試，「openssl speed」命令 (提供演算法速度測量) 仍會失敗。FIPS 模式可停用 NIST (國家標準與技術研究院) 標準未核准的加密和密碼編譯雜湊演算法。透過此更新，'openssl speed' 命令不會再失敗。(BZ#619762)

-「openssl pkcs12 -export」命令無法在 FIPS 模式中匯出 PKCS#12 檔案。用於加密 PKCS#12 檔案中憑證的預設演算法未經 FIPS 核准，因此無法使用。該命令現在預設為在 FIPS 模式中使用 FIPS 核准的演算法。
(BZ#673453)

此更新也新增了下列增強功能：

-「openssl s_server」命令先前只接受透過 IPv4 的連線，現在則可接受透過 IPv6 的連線。(BZ#601612)

- 為了允許特定維護命令執行 (例如「rsync」)，新增了一個「OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW」環境變數。當系統設為 FIPS 模式且處於維護狀態，則可設定這個新增的環境變數，即使雜湊演算法未經 FIPS-140-2 標準核准，也可執行需使用 MD5 密碼編譯雜湊演算法的軟體。(BZ#673071)

建議 OpenSSL 使用者升級至這些更新版套件，其中包含可解決這些問題的反向移植修補程式並新增這些增強功能。若要使更新生效，連結到 OpenSSL 程式庫的所有服務都必須重新啟動或讓系統重新開機。