Ubuntu 10.04 LTS / 12.04 LTS / 12.10 / 13.04 : openssl 弱點 (USN-1898-1)

low Nessus Plugin ID 67189

Synopsis

遠端 Ubuntu 主機缺少一個或多個安全性相關修補程式。

描述

TLS 通訊協定 1.2 和更舊版本可在未正確混淆未加密資料之長度的情況下,加密壓縮資料,其允許攔截式攻擊者從一系列密碼猜測 (其中提供的字串可能符合加密和壓縮流量中的未知字串) 中,觀察長度差異,從而取得純文字內容。這在 HTTP 中稱為 CRIME 攻擊。層級於 TLS 之上的其他通訊協定也可能會發生這些攻擊。

此更新針對所有使用 OpenSSL 程式庫所提供之 SSL 和 TLS 的程式停用壓縮功能。若程式為與舊版服務通訊而需要重新啟用壓縮功能,可在程式的環境中定義 OPENSSL_DEFAULT_ZLIB 變數。

解決方案

更新受影響的 libssl0.9.8 及/或 libssl1.0.0 套件。

另請參閱

https://usn.ubuntu.com/1898-1/

Plugin 詳細資訊

嚴重性: Low

ID: 67189

檔案名稱: ubuntu_USN-1898-1.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2013/7/5

已更新: 2019/9/19

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

風險資訊

VPR

風險因素: Medium

分數: 4.9

CVSS v2

風險因素: Low

基本分數: 2.6

時間分數: 1.9

媒介: AV:N/AC:H/Au:N/C:P/I:N/A:N

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: p-cpe:/a:canonical:ubuntu_linux:libssl0.9.8, p-cpe:/a:canonical:ubuntu_linux:libssl1.0.0, cpe:/o:canonical:ubuntu_linux:10.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.04:-:lts, cpe:/o:canonical:ubuntu_linux:12.10, cpe:/o:canonical:ubuntu_linux:13.04

必要的 KB 項目: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/7/3

弱點發布日期: 2012/9/15

參考資訊

CVE: CVE-2012-4929

BID: 55704

USN: 1898-1