セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-2908-1 openssl

Debian セキュリティ勧告

DSA-2908-1 openssl -- セキュリティ更新

報告日時:

2014-04-17

影響を受けるパッケージ:

openssl

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 742923.
Mitre の CVE 辞書: CVE-2010-5298, CVE-2014-0076.

詳細:

脆弱性が OpenSSL に複数発見されました。 この欠陥の識別には以下の CVE ID が割り当てられています:

• CVE-2010-5298

  読み取りバッファを、 後で利用されるデータが含まれている場合でも開放する可能性があります。 メモリの開放後利用につながります。 マルチスレッドのアプリケーションで競合状態になった場合に、 ある接続から別の接続へのデータ差し込みやサービス拒否を攻撃者に許します。

• CVE-2014-0076

  Yarom/Benger FLUSH+RELOAD キャッシュのサイドチャネル攻撃により ECDSA nonce の復元が可能です。

3件目の問題として、CVE ID はありませんが特定の状況下での TSA 拡張鍵の critical フラグの利用の検出が欠けています。

さらに、この更新では libssl のアップグレード後に再起動の必要があるサービスの確認対象を増やし、apache2 と postgresql の検出を修正、さらに debconf の「libraries/restart-without-asking」設定のサポートを追加しました。 これによりアップグレード時に問い合わせることなくサービスを再起動できるようになります。

旧安定版 (oldstable) ディストリビューション (squeeze) には CVE-2010-5298 による影響はなく、残りの脆弱性については今後の更新で対処されるでしょう。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.0.1e-2+deb7u7 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.0.1g-3 で修正されています。

直ちに openssl パッケージをアップグレードすることを勧めます。