openSUSE 安全性更新:openssl (openSUSE-SU-2015:0130-1) (FREAK)

medium Nessus Plugin ID 80991
新推出!Plugin 嚴重性目前使用 CVSS v3

計算 Plugin 嚴重性已更新為預設使用 CVSS v3 沒有 CVSS v3 評分的 Plugin 會回歸到以 CVSS v2 計算嚴重性。您可在設定下拉式選單中切換顯示嚴重性的喜好設定

Synopsis

遠端 openSUSE 主機缺少安全性更新。

描述

openssl 已更新至 1.0.1k,可修正多種安全性問題與錯誤。

如需詳細資訊,請至 openssl 公告:
http://openssl.org/news/secadv/20150108.txt

已修正以下問題:

- CVE-2014-3570 (bsc#912296):Bignum squaring (BN_sqr) 在某些平台上 (包括 x86_64) 可能產生不正確的結果。

- CVE-2014-3571 (bsc#912294):已修正 dtls1_get_record 中的損毀;在接聽狀態下,如果您獲得兩個執行後的獨立讀取 (一個是針對標頭,而另一個是針對交握記錄的內文),則會發生此狀況。

- CVE-2014-3572 (bsc#912015):不接受使用暫時 ECDH 加密套件的交握,並忽略伺服器金鑰交換訊息。

- CVE-2014-8275 (bsc#912018):已修正多種憑證指紋問題。

- CVE-2015-0204 (bsc#912014):匯出加密套件中僅允許暫時 RSA 金鑰

- CVE-2015-0205 (bsc#912293):已新增一個修正,以防在沒有傳送憑證驗證訊息的情況下,使用 DH 用戶端憑證。

- CVE-2015-0206 (bsc#912292):已修正 dtls1_buffer_record 中的一個記憶體洩漏。

解決方案

更新受影響的 openssl 套件。

另請參閱

https://www.openssl.org/news/secadv/20150108.txt

https://bugzilla.opensuse.org/show_bug.cgi?id=911399

https://bugzilla.opensuse.org/show_bug.cgi?id=912014

https://bugzilla.opensuse.org/show_bug.cgi?id=912015

https://bugzilla.opensuse.org/show_bug.cgi?id=912018

https://bugzilla.opensuse.org/show_bug.cgi?id=912292

https://bugzilla.opensuse.org/show_bug.cgi?id=912293

https://bugzilla.opensuse.org/show_bug.cgi?id=912294

https://bugzilla.opensuse.org/show_bug.cgi?id=912296

https://lists.opensuse.org/opensuse-updates/2015-01/msg00068.html

Plugin 詳細資訊

嚴重性: Medium

ID: 80991

檔案名稱: openSUSE-2015-67.nasl

版本: 1.14

類型: local

代理程式: unix

已發布: 2015/1/26

已更新: 2021/1/19

相依性: ssh_get_info.nasl

風險資訊

VPR

風險因素: Medium

分數: 5.2

CVSS v2

風險因素: Medium

基本分數: 5

媒介: AV:N/AC:L/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:novell:opensuse:libopenssl-devel, p-cpe:/a:novell:opensuse:libopenssl-devel-32bit, p-cpe:/a:novell:opensuse:libopenssl1_0_0, p-cpe:/a:novell:opensuse:libopenssl1_0_0-32bit, p-cpe:/a:novell:opensuse:libopenssl1_0_0-debuginfo, p-cpe:/a:novell:opensuse:libopenssl1_0_0-debuginfo-32bit, p-cpe:/a:novell:opensuse:libopenssl1_0_0-hmac, p-cpe:/a:novell:opensuse:libopenssl1_0_0-hmac-32bit, p-cpe:/a:novell:opensuse:openssl, p-cpe:/a:novell:opensuse:openssl-debuginfo, p-cpe:/a:novell:opensuse:openssl-debugsource, cpe:/o:novell:opensuse:13.1, cpe:/o:novell:opensuse:13.2

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list, Host/cpu

修補程式發佈日期: 2015/1/22

參考資訊

CVE: CVE-2014-3569, CVE-2014-3570, CVE-2014-3571, CVE-2014-3572, CVE-2014-8275, CVE-2015-0204, CVE-2015-0205, CVE-2015-0206