Debian セキュリティ勧告
DSA-2162-1 openssl -- 不正なメモリアクセス
- 報告日時:
- 2011-02-14
- 影響を受けるパッケージ:
- openssl
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2011-0014.
- 詳細:
-
Neel Mehta さんにより、不正なフォーマットの ClientHello ハンドシェイクメッセージにより、 OpenSSL がメッセージ終端を超えてパースしてしまうことが発見されました。 この欠陥により、攻撃者から OpenSSL を用いているアプリケーションを不正メモリアクセスによりクラッシュさせることが可能です。 また、一部のアプリケーションには、パースされた OCSP nonce 拡張の内容を外部に漏らしてしまう欠陥があることも判明しています。
旧安定版 (lenny) のパッケージはこの問題の影響を受けません。
安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 0.9.8o-4squeeze1 で修正されています。
テスト版ディストリビューション (wheezy) では、この問題はバージョン 0.9.8o-5 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 0.9.8o-5 で修正されています。
直ぐに openssl パッケージをアップグレードすることを勧めます。