Debian DSA-2896-1:openssl - 安全性更新

high Nessus Plugin ID 73388

概要

遠端 Debian 主機缺少安全性更新。

說明

在 TLS/DTLS 活動訊號延伸模組的 OpenSSL 支援中發現一個弱點。攻擊者最多可從用戶端或伺服器復原 64KB 的記憶體。此弱點可能允許攻擊者破壞私密金鑰和記憶體中的其他敏感資料。

所有使用者應盡快升級至 openssl 套件 (特別是 libssl1.0.0),然後盡早重新啟動應用程式。

根據最新公佈的資訊,私密金鑰應盡早視為損毀狀態並重新產生。更多詳細資訊將於日後傳達。

舊的穩定發行版本 (squeeze) 不會受此弱點影響。

解決方案

升級 openssl 套件。

針對穩定的發行版本 (wheezy),此問題已在 1.0.1e-2+deb7u5 版本中修正。

另請參閱

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=743883

http://www.debian.org/security/2014/dsa-2896

Plugin 詳細資訊

嚴重性: High

ID: 73388

檔案名稱: debian_DSA-2896.nasl

版本: 1.11

類型: local

代理程式: unix

已發布: 2014/4/8

已更新: 2022/5/5

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.9

CVSS v2

風險因素: High

基本分數: 9.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

弱點資訊

CPE: p-cpe:/a:debian:debian_linux:openssl, cpe:/o:debian:debian_linux:7.0

必要的 KB 項目: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/4/7

CISA 已知遭惡意利用弱點到期日: 2022/5/25

可惡意利用

Core Impact

Metasploit (OpenSSL Heartbeat Information Leak)

參考資訊

CVE: CVE-2014-0160

DSA: 2896