Amazon Linux AMI : openssl (ALAS-2014-427)
high Nessus Plugin ID 78485
語系:
概要
遠端 Amazon Linux AMI 主機缺少一個安全性更新。說明
在 OpenSSL 剖析 DTLS 安全即時傳輸通訊協定 (SRTP) 延伸資料的方式中發現一個記憶體洩漏瑕疵。遠端攻擊者可傳送多個特製的交握訊息以耗盡 SSL/TLS 或 DTLS 伺服器的所有可用記憶體。(CVE-2014-3513)在 OpenSSL 處理失敗工作階段票證完整性檢查的方式中發現一個記憶體洩漏瑕疵。遠端攻擊者可傳送大量無效的工作階段票證給 SSL/TLS 或 DTLS 伺服器,藉以耗盡該伺服器的所有可用記憶體。(CVE-2014-3567)
以 'no-ssl3' 作為版本選項進行 OpenSSL 設定時,伺服器可接受並完成 SSL 3.0 交握,而用戶端可設為
傳送該交握。(CVE-2014-3568)
解決方案
執行「yum update openssl」以更新系統。請注意,您可能需要先執行「yum clean all」。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 78485
檔案名稱: ala_ALAS-2014-427.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2014/10/16
已更新: 2018/4/18
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: High
基本分數: 7.1
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:openssl, p-cpe:/a:amazon:linux:openssl-debuginfo, p-cpe:/a:amazon:linux:openssl-devel, p-cpe:/a:amazon:linux:openssl-perl, p-cpe:/a:amazon:linux:openssl-static, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
修補程式發佈日期: 2014/10/15
參考資訊
CVE: CVE-2014-3513, CVE-2014-3567, CVE-2014-3568
ALAS: 2014-427