AIX OpenSSL 公告：ssl_advisory.asc

medium Nessus Plugin ID 73566

語系：

概要

遠端 AIX 主機正在執行有弱點的 OpenSSL 版本。

說明

遠端主機上執行的 OpenSSL 版本受到下列弱點影響：

- 在 SSL 和 TLS 通訊協定允許重新交涉要求的方式中有一個弱點，可能允許攻擊者將純文字插入應用程式通訊協定資料流中。這可能導致攻擊者能夠對看似來自合法來源的伺服器發出命令。

- 未經驗證的遠端攻擊者可能會將任意數量的所選純文字，插入應用程式通訊協定資料流的開頭。這可能造成允許攻擊者模擬使用者發出 HTTP 要求或採取行動等後果。

請注意，建議的修正會停用所有工作階段的重新交涉。

解決方案

現已提供修正，可從 AIX 網站下載。

若要從 tar 檔擷取修正：

zcat openssl.0.9.8.1102.tar.Z | tar xvf - 或 zcat openssl-fips.12.9.8.1102.tar.Z | tar xvf - 或 zcat openssl.0.9.8.805.tar.Z | tar xvf -

重要事項：如果可行，建議建立系統的 mksysb 備份。請在繼續操作前驗證 bootable 和 readable。

若要預覽修正安裝：

installp -apYd . openssl

若要安裝修正套件：

installp -aXYd . openssl