[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:33859] [Translate] [SECURITY] [DSA-136-1] Multiple OpenSSL problems

かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- ------------------------------------------------------------------------
Debian Security Advisory DSA-136-1                   security@debian.org
http://www.debian.org/security/                         Wichert Akkerman
July 30, 2002
- ------------------------------------------------------------------------


Package        : openssl
Problem type   : 複数のリモートからの脆弱性
Debian-specific: no
CVE            : CAN-2002-0655 CAN-2002-0656 CAN-2002-0657 CAN-2002-0659

The OpenSSL development team から、DARPA CHAT プログラム下での A.L.
Digital 社と The Bunker 社によるセキュリティ監査により OpenSSL コード
にリモートから攻撃可能なバッファオーバフロー箇所が発見されたとのアナ
ウンスがありました。加えて上記とは独立に、OpenSSL のASN1 パーザに潜在
的なサービス不能攻撃に対する脆弱性があることが  Adi Stav、James Yonan
両氏によって発見されました。

CAN-2002-0655 では、64 bit プラットフォームでの ASCII の整数表現を格納
するバッファのオーバフローの問題が、CAN-2002-0656 では、SSL2 サーバ実装
(サーバに不正なキーを送信した場合) のバッファオーバフローの問題と、SSL3
クライアント実装 (クライアントに対して巨大なセッション ID を送付した場
合) のバッファオーバフローの問題が、各々記載されています。SSL2 での問題
は Neohapsis によっても報告されており、この問題に対する攻撃コードのデモ
が非公開で提供されています。CAN-2002-0659 では ANS1 パーザの DoS 問題が
記載されています。

これらの問題点は、Debian 3.0 (woody) で、各々 openssl094_0.9.4-6.woody.0
openssl095_0.9.5a-6.woody.0 と openssl_0.9.6c-2.woody.0 の各バージョン
で修正されています。

この問題点は、Debian 2.2 (potato) にも存在しますが、現時点ではまだ修正
が完了していません。

直ぐに OpenSSL パッケージをアップグレードすることを勧めます。また、SSL
を実行しているデーモンをすべて再起動する必要があることに注意してください
(例えば、ssh や ssl を有効にした Apache など)

- ------------------------------------------------------------------------

アップデートの取得方法:

手動:
   wget url
	でファイルを取得できます。
   dpkg -i file.deb
        で参照されたファイルをインストールできます。

apt を使う方法:
    deb http://security.debian.org/ stable/updates main
        を /etc/apt/sources.list に加えてセキュリティアップデートを行って
        ください。

追加情報は Debian セキュリティページ http://www.debian.org/security/ をご
覧ください。

- ------------------------------------------------------------------------
Debian GNU/Linux 3.0 安定版 (stable)
- ---------------------------------

  Woody は alpha, arm, hppa, i386, ia64, m68k, mips, mipsel, powerpc,
  s390 と sparc 向けにリリースされています。

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0.dsc
      Size/MD5 checksum:      782 de4c7b85648c7953dc31d3a89c38681c
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0.diff.gz
      Size/MD5 checksum:    42270 e9fbf71f583f1727222eddb8f023472a
    http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.0.dsc
      Size/MD5 checksum:      781 534406f61e0229e92f506e9bc92fdaf1
    http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.0.diff.gz
      Size/MD5 checksum:    45542 f4683a2fb7adc0fef97a31ac141e3acd
    http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.0.diff.gz
      Size/MD5 checksum:    38251 ee919ba698cbbfebcf922b19e05bbfeb
    http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4.orig.tar.gz
      Size/MD5 checksum:  1570392 72544daea16d6c99d656b95f77b01b2d
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz
      Size/MD5 checksum:  2153980 c8261d93317635d56df55650c6aeb3dc
    http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.0.dsc
      Size/MD5 checksum:      731 370bd2a3bb4bd957c571b7e0e51837ce
    http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
      Size/MD5 checksum:  1892089 99d22f1d4d23ff8b927f94a9df3997b4

  Architecture independent packages:

    http://security.debian.org/pool/updates/main/o/openssl/ssleay_0.9.6c-2.woody.0_all.deb
      Size/MD5 checksum:      978 550d56ffa53e3e8ef26087b1fef5a1c5

  alpha architecture (DEC Alpha)

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_alpha.deb
      Size/MD5 checksum:   735692 786b81d45374fa91a204a578d09dea6b
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_alpha.deb
      Size/MD5 checksum:  1550722 ac0d245d8d2e744d688c2778382513da
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_alpha.deb
      Size/MD5 checksum:   570630 c46d9dcac74f3766a48d8fe36d8dcb05

  hppa architecture (HP PA RISC)

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_hppa.deb
      Size/MD5 checksum:   741398 9a081e5359cdf46e56a1854bcbff7af3
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_hppa.deb
      Size/MD5 checksum:  1434262 b9014a44cbefabce2c446b5b7be640f9
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_hppa.deb
      Size/MD5 checksum:   564284 be33bde9b00138d7ab6639daf9dc4cfe

  i386 architecture (Intel ia32)

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_i386.deb
      Size/MD5 checksum:   731384 101d86cf6e2e274e5a811a38f5956b2d
    http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.0_i386.deb
      Size/MD5 checksum:   357908 49dd8e2dc866b9bd7639c5e7576e7519
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_i386.deb
      Size/MD5 checksum:   462026 859c8e6439943d597db12d47ec1ee496
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_i386.deb
      Size/MD5 checksum:  1293384 3e605b6e1abc0b0f40c6ec3ddf2b9419
    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.0_i386.deb
      Size/MD5 checksum:   400048 7495feff7cbcae0f816641b8d7537ad1

  ia64 architecture (Intel ia64)

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_ia64.deb
      Size/MD5 checksum:  1614810 48c24d1b8c221e51a1e6f789b2621b40
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_ia64.deb
      Size/MD5 checksum:   763034 13e3e71cc06198e6a481d958854a1f78
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_ia64.deb
      Size/MD5 checksum:   710254 792b4575a78dafac7f99919d9c5a9f78

  mips architecture (MIPS (Big Endian))

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_mips.deb
      Size/MD5 checksum:   717276 4a2d38551b10dc1316bd3479d044261b
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_mips.deb
      Size/MD5 checksum:   482968 f37975dfb58f53950e98e8adce007cd9
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_mips.deb
      Size/MD5 checksum:  1415580 e87350a24e7d0bc4558cc09711246eab

  mipsel architecture (MIPS (Little Endian))

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_mipsel.deb
      Size/MD5 checksum:  1409480 70e26b6de02b0749e9d30fb4e8d0bbc3
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_mipsel.deb
      Size/MD5 checksum:   475990 1f96c9c2528316857598262b40a9b9ca
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_mipsel.deb
      Size/MD5 checksum:   716482 a89cfa547f585e6858593506ed9b2257

  powerpc architecture (PowerPC)

    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_powerpc.deb
      Size/MD5 checksum:   501824 bfca4d6a8e3b348abb8ed97453349752
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_powerpc.deb
      Size/MD5 checksum:   726122 9db6440fb0765c1360a7c09dec78f404
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_powerpc.deb
      Size/MD5 checksum:  1386244 06a403323563b590311b1297e4f63a5d

  s390 architecture (IBM S/390)

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_s390.deb
      Size/MD5 checksum:   730124 6585907e414d4508a66460649de0c701
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_s390.deb
      Size/MD5 checksum:  1310886 d6e233ab6d3f1ebe4fd9b479713ee662
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_s390.deb
      Size/MD5 checksum:   495844 afb314f4d0113175d27435485ba2de07

  sparc architecture (Sun SPARC/UltraSPARC)

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_sparc.deb
      Size/MD5 checksum:   736604 ebd2b62518e0602fbf1027686c0eb5e5
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_sparc.deb
      Size/MD5 checksum:   484136 e26006714e97d77159f2d0773e00e636
    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_sparc.deb
      Size/MD5 checksum:  1343554 76c3efda7e4a3470c5276cefa63a2448

- -- 
- ----------------------------------------------------------------------------
Debian Security team <team@security.debian.org>
http://www.debian.org/security/
Mailing-List: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8------------>8
--
Seiji Kaneko                           skaneko@xxxxxxxxxxxx
-----------------------------------------------------------