偵測

GLSA-201503-11:OpenSSL:多個弱點 (FREAK)

high Nessus Plugin ID 82010

語系:

概要

遠端 Gentoo 主機缺少一個或多個與安全性相關的修補程式。

說明

遠端主機受到 GLSA-201503-11 中所述的弱點影響 (OpenSSL:多個弱點)

在 OpenSSL 中發現多個弱點。如需詳細資訊,請參閱以下提及的 CVE 識別碼及上游公告:
RSA 以無訊息模式降級至 EXPORT_RSA [用戶端] (重新分類) (CVE-2015-0204) ASN1_TYPE_cmp 中的分割錯誤 (CVE-2015-0286) ASN.1 結構重複使用記憶體損毀 (CVE-2015-0287) X509_to_X509_REQ NULL 指標解除參照 (CVE-2015-0288) PKCS7 NULL 指標解除參照 (CVE-2015-0289) Base64 解碼 (CVE-2015-0292) SSLv2 伺服器中透過可獲得宣告導致的 DoS (CVE-2015-0293) d2i_ECPrivatekey 錯誤後出現的釋放後使用 (CVE-2015-0209) 下列問題只會影響 OpenSSL 1.0.2,而此不屬於支援的 Gentoo 穩定樹狀結構:
OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291) 多區塊損毀指標 (CVE-2015-0290) DTLSv1_listen 中的分割錯誤 (CVE-2015-0207) 無效 PSS 參數的分割錯誤 (CVE-2015-0208) 具有用戶端驗證和 DHE 的空白 CKE (CVE-2015-1787) 與未植入 PRNG 的交握 (CVE-2015-0285) 影響:

遠端攻擊者可利用多個向量造成拒絕服務或資訊洩漏。
 因應措施:

目前尚無已知的因應措施。

解決方案

所有 OpenSSL 1.0.1 使用者皆應升級至最新版本:
 # emerge --sync # emerge --ask --oneshot --verbose ‘>=dev-libs/openssl-1.0.1l-r1’ 所有 OpenSSL 0.9.8 使用者皆應升級至最新版本:
 # emerge --sync # emerge --ask --oneshot --verbose ‘>=dev-libs/openssl-0.9.8z_p5-r1’ 需要重新啟動依賴 OpenSSL 程式庫的套件,此升級才會生效。部分套件可能需要重新編譯。
 revdep-rebuild 等工具可協助識別其中一些套件。

另請參閱

https://www.openssl.org/news/secadv/20150319.txt

https://security.gentoo.org/glsa/201503-11

Plugin 詳細資訊

嚴重性: High

ID: 82010

檔案名稱: gentoo_GLSA-201503-11.nasl

版本: 1.15

類型: local

已發布: 2015/3/24

已更新: 2021/1/11

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:gentoo:linux:openssl, cpe:/o:gentoo:linux

必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list

修補程式發佈日期: 2015/3/19

參考資訊

CVE: CVE-2015-0204, CVE-2015-0207, CVE-2015-0208, CVE-2015-0209, CVE-2015-0285, CVE-2015-0287, CVE-2015-0288, CVE-2015-0289, CVE-2015-0290, CVE-2015-0291, CVE-2015-0292, CVE-2015-0293, CVE-2015-1787

GLSA: 201503-11