偵測

SuSE 11.3 安全性更新:OpenSSL (SAT 修補程式編號 10481)

high Nessus Plugin ID 81996

語系:

概要

遠端 SuSE 11 主機缺少一個或多個安全性更新。

說明

OpenSSL 已更新,修正了數個安全性問題:

- d2i_ECPrivatekey 錯誤後出現的釋放後使用已修正,這可導致攻擊者提供的 Elliptic Curve 金鑰損毀。這可能會在 SSL 連線上,遭到他人透過用戶端提供的金鑰來惡意利用。(CVE-2015-0209)

- ASN1_TYPE_cmp 中的分割錯誤已修正,避免攻擊者在使用用戶端驗證時加以惡意利用。這可能在 SSL 連線上遭到惡意利用。(CVE-2015-0286)

- ASN.1 結構重複使用記憶體損毀已修正。
 此問題無法在一般 SSL 連線上遭惡意利用,只有在特定用戶端程式使用特定 ASN.1 常式時才有可能。(CVE-2015-0287)

- X509_to_X509_REQ NULL 指標解除參照已修正,避免當機問題。此函式未經廣泛使用,且無法透過 SSL 方法獲得。
 (CVE-2015-0288)

- 數個 PKCS7 NULL 指標解除參照已修正,避免使用 PKCS7 API 的程式損毀。SSL api 預設未加以使用。
 (CVE-2015-0289)

- base64 解碼中的多個問題已修正,避免因記憶體損毀而當機,例如:使用攻擊者提供的 PEM 資料時。
 (CVE-2015-0292)

- SSLv2 伺服器中透過可獲得宣告導致的拒絕服務,可能遭遠端攻擊者用來終止伺服器處理程序。請注意,這需要 SSLv2 經過允許,而這並非預設選項。(CVE-2015-0293)

- 修正 TLS 主機名稱延伸模組中的記憶體洩漏,遠端攻擊者可利用此弱點來執行 SSL 服務,進而導致記憶體不足。(CVE-2009-5146)

解決方案

套用 SAT 修補程式編號 10481。

另請參閱

https://bugzilla.novell.com/show_bug.cgi?id=915976

https://bugzilla.novell.com/show_bug.cgi?id=919648

https://bugzilla.novell.com/show_bug.cgi?id=920236

https://bugzilla.novell.com/show_bug.cgi?id=922488

https://bugzilla.novell.com/show_bug.cgi?id=922496

https://bugzilla.novell.com/show_bug.cgi?id=922499

https://bugzilla.novell.com/show_bug.cgi?id=922500

https://bugzilla.novell.com/show_bug.cgi?id=922501

http://support.novell.com/security/cve/CVE-2009-5146.html

http://support.novell.com/security/cve/CVE-2015-0209.html

http://support.novell.com/security/cve/CVE-2015-0286.html

http://support.novell.com/security/cve/CVE-2015-0287.html

http://support.novell.com/security/cve/CVE-2015-0288.html

http://support.novell.com/security/cve/CVE-2015-0289.html

http://support.novell.com/security/cve/CVE-2015-0292.html

http://support.novell.com/security/cve/CVE-2015-0293.html

Plugin 詳細資訊

嚴重性: High

ID: 81996

檔案名稱: suse_11_libopenssl-devel-150317.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2015/3/23

已更新: 2021/1/6

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:novell:suse_linux:11:libopenssl0_9_8, p-cpe:/a:novell:suse_linux:11:libopenssl0_9_8-32bit, p-cpe:/a:novell:suse_linux:11:libopenssl0_9_8-hmac, p-cpe:/a:novell:suse_linux:11:libopenssl0_9_8-hmac-32bit, p-cpe:/a:novell:suse_linux:11:openssl, p-cpe:/a:novell:suse_linux:11:openssl-doc, cpe:/o:novell:suse_linux:11

必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2015/3/17

參考資訊

CVE: CVE-2009-5146, CVE-2015-0209, CVE-2015-0286, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0292, CVE-2015-0293