openSUSE 安全性更新:mbedtls (openSUSE-2016-903)
medium Nessus Plugin ID 92625
語系:
概要
遠端 openSUSE 主機缺少安全性更新。說明
此 1.3.17 版的 mbedtls 更新可修正下列問題:修正的安全性問題:
- 修正 PKCS1 v2.2 所需的 mbedtls_rsa_rsaes_pkcs1_v15_decrypt 中遺漏的 padding 長度檢查
- 修正 mbedtls_rsa_rsaes_oaep_decrypt 中會導致緩衝區過度讀取的潛在整數反向溢位。此問題不能從遠端在 SSL/TLS 中觸發。
- 修正 mbedtls_rsa_rsaes_pkcs1_v15_encrypt 和 mbedtls_rsa_rsaes_oaep_encrypt 中會導致緩衝區溢位的潛在整數溢位
修正的錯誤:
- 修正 mbedtls_mpi_add_mpi() 中的錯誤,三個引數相同時 (就地倍增) 其會造成錯誤結果。由 Janos Follath 發現及修正。
#309
- 修正 Makefile 中導致無法使用 armar 構建的問題。
- 修正產生奇數位元長度的 RSA 金鑰時造成懸置的問題。
- 修正 mbedtls_rsa_rsaes_pkcs1_v15_encrypt 中可能引發 NULL 指標解除參照的錯誤。
- 修正將無效曲線傳送至 mbedtls_ssl_conf_curves 時會造成當機的問題。#373
深入變更:
- 在 ARM 平台上,透過 GCC、Clang 或 armcc5 以 -O0 編譯時,不針對 bignum 乘法使用最佳化組件。這會消除傳送 -fomit-frame-pointer 的必要性,
可避免 -O0 的構建錯誤。
- 停用預設組態中的 SSLv3。
- 修正不合規的伺服器延伸模組處理。現在會依照 RFC6101 的規定,忽略 SSLv3 的延伸模組。
解決方案
更新受影響的 mbedtls 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 92625
檔案名稱: openSUSE-2016-903.nasl
版本: 2.3
類型: local
代理程式: unix
已發布: 2016/7/29
已更新: 2021/1/19
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
弱點資訊
CPE: p-cpe:/a:novell:opensuse:libmbedtls9, p-cpe:/a:novell:opensuse:libmbedtls9-32bit, p-cpe:/a:novell:opensuse:libmbedtls9-debuginfo, p-cpe:/a:novell:opensuse:libmbedtls9-debuginfo-32bit, p-cpe:/a:novell:opensuse:mbedtls-debugsource, p-cpe:/a:novell:opensuse:mbedtls-devel, cpe:/o:novell:opensuse:42.1
必要的 KB 項目: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
修補程式發佈日期: 2016/7/27