AIX OpenSSL 公告:openssl_advisory17.asc (Logjam)
medium Nessus Plugin ID 89829
語系:
Synopsis
遠端 AIX 主機安裝的 OpenSSL 版本受到多個弱點影響。描述
遠端 AIX 主機上安裝的 OpenSSL 版本受到下列弱點影響:- 存在一個加密演算法降級弱點,這是因為處理密碼交涉時觸發的瑕疵所導致。遠端攻擊者可惡意利用此弱點交涉 SSLv2 密碼並完成 SSLv2 交握,即使所有 SSLv2 密碼都已在伺服器上停用也是如此。請注意,只有在 SSL_OP_NO_SSLv2 選項尚未停用時,此弱點才會存在。
(CVE-2015-3197)
- 存在一個稱為 Logjam 的攔截式弱點,這是因為 SSL/TLS 通訊協定中存在一個瑕疵。遠端攻擊者可惡意利用此瑕疵,將使用暫時 Diffie-Hellman 金鑰交換的連線降級為 512 位元匯出級密碼編譯。(CVE-2015-4000)
解決方案
現已提供修正,可從 IBM AIX 網站下載。另請參閱
http://aix.software.ibm.com/aix/efixes/security/openssl_advisory17.asc
Plugin 詳細資訊
嚴重性: Medium
ID: 89829
檔案名稱: aix_openssl_advisory17.nasl
版本: 1.11
類型: local
已發布: 2016/3/10
已更新: 2021/1/4
風險資訊
VPR
風險因素: Low
分數: 3.9
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: AV:N/AC:M/Au:N/C:N/I:P/A:N
時間媒介: E:U/RL:OF/RC:C
弱點資訊
CPE: cpe:/o:ibm:aix, cpe:/a:openssl:openssl
必要的 KB 項目: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/3/2
弱點發布日期: 2015/5/20
參考資訊
CVE: CVE-2015-3197, CVE-2015-4000
CERT: 257823