AIX OpenSSL 公告:openssl_advisory7.doc (Heartbleed)

high Nessus Plugin ID 73472

概要

遠端 AIX 主機正在執行有弱點的 OpenSSL 版本。

說明

遠端主機上執行的 OpenSSL 版本受到一個資訊洩漏弱點的影響。

OpenSSL 未正確處理 TLS 活動訊號延伸模組中的記憶體,可能允許遠端攻擊者讀取最多 64KB 的伺服器記憶體內容,從而可能洩漏密碼、私密金鑰及其他敏感資料。

解決方案

安裝適當的過渡期修正。此外,若要解決此問題,您必須:

- 撤銷現有憑證,並以「openssl genrsa」產生的新私密金鑰重新核發憑證,進而取代 SSL 憑證。

- 重設 User Credentials Force 使用者,以重設其密碼並撤銷任何現有的 cookie 或驗證,然後再重新進行驗證。

另請參閱

https://aix.software.ibm.com/aix/efixes/security/openssl_advisory7.doc

http://heartbleed.com/

http://eprint.iacr.org/2014/140

http://www.openssl.org/news/vulnerabilities.html#2014-0160

Plugin 詳細資訊

嚴重性: High

ID: 73472

檔案名稱: aix_openssl_advisory7.nasl

版本: 1.13

類型: local

已發布: 2014/4/11

已更新: 2023/4/21

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.9

CVSS v2

風險因素: High

基本分數: 9.4

時間分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

弱點資訊

CPE: cpe:/o:ibm:aix, cpe:/a:openssl:openssl

必要的 KB 項目: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2014/4/10

弱點發布日期: 2014/4/7

CISA 已知遭惡意利用弱點到期日: 2022/5/25

可惡意利用

Core Impact

參考資訊

CVE: CVE-2014-0160

BID: 66690

CERT: 720951