AIX OpenSSL 公告:openssl_advisory17.asc (Logjam)

medium Nessus Plugin ID 89829

Synopsis

遠端 AIX 主機安裝的 OpenSSL 版本受到多個弱點影響。

描述

遠端 AIX 主機上安裝的 OpenSSL 版本受到下列弱點影響:

- 存在一個加密演算法降級弱點,這是因為處理密碼交涉時觸發的瑕疵所導致。遠端攻擊者可惡意利用此弱點交涉 SSLv2 密碼並完成 SSLv2 交握,即使所有 SSLv2 密碼都已在伺服器上停用也是如此。請注意,只有在 SSL_OP_NO_SSLv2 選項尚未停用時,此弱點才會存在。
(CVE-2015-3197)

- 存在一個稱為 Logjam 的攔截式弱點,這是因為 SSL/TLS 通訊協定中存在一個瑕疵。遠端攻擊者可惡意利用此瑕疵,將使用暫時 Diffie-Hellman 金鑰交換的連線降級為 512 位元匯出級密碼編譯。(CVE-2015-4000)

解決方案

現已提供修正,可從 IBM AIX 網站下載。

另請參閱

http://aix.software.ibm.com/aix/efixes/security/openssl_advisory17.asc

https://weakdh.org/

Plugin 詳細資訊

嚴重性: Medium

ID: 89829

檔案名稱: aix_openssl_advisory17.nasl

版本: 1.11

類型: local

已發布: 2016/3/10

已更新: 2021/1/4

風險資訊

VPR

風險因素: Low

分數: 3.9

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: AV:N/AC:M/Au:N/C:N/I:P/A:N

時間媒介: E:U/RL:OF/RC:C

弱點資訊

CPE: cpe:/o:ibm:aix, cpe:/a:openssl:openssl

必要的 KB 項目: Host/AIX/lslpp, Host/local_checks_enabled, Host/AIX/version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2016/3/2

弱點發布日期: 2015/5/20

參考資訊

CVE: CVE-2015-3197, CVE-2015-4000

BID: 74733, 82237

CERT: 257823