|
OSA-2004-17
1 サマリ
|
|
|
|
openssl096-ogl,openssl-ogl
|
|
|
|
2 詳細
通信暗号化ライブラリ OpenSSL に複数の脆弱性が発見されています。
|
|
バージョン 0.9.6c から 0.9.6.l 及び 0.9.7a から 0.9.7c の OpenSSL はハンドシェイクの際に細工されたパケットを受け取った場合に OpensSSL を利用したアプリケーションが停止させられる可能性があります。
|
|
|
|
ハンドシェイクにおける DoS攻撃の可能性 (Kerberos を認証に用いた場合)
|
|
|
|
バージョン 0.9.7a から 0.9.7c の OpenSSL で Kerberos を利用している場合、ハンドシェイクの際に細工されたパケットを受け取った場合に OpensSSL を利用したアプリケーションが停止させられる可能性があります。
|
|
|
|
バージョン 0.9.6d 以前の OpenSSL では細工されたパケットを受けとった場合に無限ループが発生する可能性が指摘されています。 ARMA 2.1,ARMA 2.2 では バージョン0.9.6g 以降を収録しているため影響がありません。
|
|
詳細は以下の URL をご参照下さい。
|
|
「OpenSSL Security Advisory」
|
|
|
|
「CAN-2004-0079」 Common Vulnerabilities and Exposures
|
|
|
|
「CAN-2004-0081」 Common Vulnerabilities and Exposures
|
|
|
|
「CAN-2004-0112」 Common Vulnerabilities and Exposures
|
|
3 対処方法
パッケージのアップデートを行い ssh 等の OpenSSL を利用しているサーバアプリケーションを再起動して下さい。
ARMA 2.2 は openssl-ogl_0.9.7b-1o201、openssl096-ogl_0.9.6l-1o101 で対応をしています。以下のコマンドでパッケージのアップデートを行って下さい。
|
# apt-get update
| # apt-get install libssl0.9.7
| # apt-get install libssl0.9.6
|
|
|
ARMA 2.1 は openssl-ogl_0.9.6g-6o501 で対応しています。以下のコマンドでアップデートを行って下さい。
|
# apt-get update
| # apt-get install libssl0.9.6
|
|
|
| |
|
|