McAfee ePolicy Orchestrator 多個 OpenSSL 弱點 (SB10075)

medium Nessus Plugin ID 76145

語系：

概要

遠端主機受多個弱點影響。

說明

遠端主機執行的 McAfee ePolicy Orchestrator 版本受到 OpenSSL 程式庫瑕疵所引起的多個弱點影響：

- 函式「ssl3_read_bytes」中存在錯誤，可允許將資料插入其他工作階段或允許拒絕服務攻擊。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭到利用。(CVE-2010-5298)

- 存在與橢圓曲線數位簽章演算法 (ECDSA) 實作相關的錯誤，可允許透過「FLUSH+RELOAD」快取側通道攻擊暫時洩漏。(CVE-2014-0076)

- 存在與無效 DTLS 片段處理相關的緩衝區溢位錯誤，可導致任意程式碼執行。請注意，只有在用作 DTLS 用戶端或伺服器時，此問題才會影響 OpenSSL。(CVE-2014-0195)

- 函式「do_ssl3_write」中存在錯誤，可能允許系統對 NULL 指標解除參照，進而導致拒絕服務攻擊。請注意，只有當啟用了「SSL_MODE_RELEASE_BUFFERS」時，此問題才可能遭到利用。(CVE-2014-0198)

- 存在與 DTLS 交握處理相關的錯誤，可導致拒絕服務攻擊。請注意，只有在用作 DTLS 用戶端時此問題才會影響 OpenSSL。
(CVE-2014-0221)

- 存在不明錯誤，可允許攻擊者使用弱式金鑰產製原料，進而引發簡化攔截式攻擊。
(CVE-2014-0224)

- 存在與匿名 ECDH 加密套件相關的不明錯誤，可導致拒絕服務攻擊。請注意，此問題僅影響 OpenSSL TLS 用戶端。(CVE-2014-3470)