AIX OpenSSL 公告：openssl_advisory3.asc

high Nessus Plugin ID 73561

語系：

概要

遠端 AIX 主機正在執行有弱點的 OpenSSL 版本。

說明

遠端主機上執行的 OpenSSL 版本受到下列弱點影響：

- 在 0.9.8s 之前的版本和 1.0.0f 之前的 1.x 版本 OpenSSL 中，DTLS 實作只在特定填補有效時執行 MAC 檢查，導致遠端攻擊者更容易透過 padding oracle 攻擊還原純文字。(CVE-2011-4108)

- 在 0.9.8s 之前的 0.9.8 版版本 OpenSSL 中，重複釋放弱點在 X509_V_FLAG_POLICY_CHECK 啟用時允許遠端攻擊者觸發原則檢查失敗，進而造成不明影響。(CVE-2011-4109)

- 在 0.9.8s 之前版本和 1.0.0f 之前的 1.x 版本 OpenSSL 中，SSL 3.0 並未正確初始化區塊加密填補的資料結構，可能導致遠端攻擊者傳送 SSL 對等端來解密填補資料，藉此取得敏感資訊。
(CVE-2011-4576)

- 在 0.9.8s 版之前和 1.0.0f 之前的 1.x 版中 OpenSSL 中，Server Gated Cryptography (SGC) 實作未正確處理交握重新啟動，其允許遠端攻擊者透過未知向量造成拒絕服務。(CVE-2011-4619)

- OpenSSL 0.9.8s 和 1.0.0f 未正確支援 DTLS 應用程式，這會讓遠端攻擊者透過不明向量造成拒絕服務。注意：此弱點之所以存在，是因為 CVE-2011-4108 的修正不正確。(CVE-2012-0050)

解決方案

現已提供修正，可從 AIX 網站下載。

若要從 tar 檔擷取修正：

zcat openssl.0.9.8.1801.tar.Z | tar xvf - 或 zcat openssl-fips.12.9.8.1801.tar.Z | tar xvf - 或 zcat openssl.0.9.8.809.tar.Z | tar xvf -

重要事項：如果可行，建議建立系統的 mksysb 備份。請在繼續操作前驗證 bootable 和 readable。

若要預覽修正安裝：

installp -apYd . openssl

若要安裝修正套件：

installp -aXYd . openssl