[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:38418] [Translate] [SECURITY] [DSA 394-1] New openssl095 packages fix denial of service

かねこです。
URL 等は元記事を確認ください。

------>8------------>8------------>8------------>8------------>8
- --------------------------------------------------------------------------
Debian Security Advisory DSA 394-1                     security@debian.org
http://www.debian.org/security/                             Martin Schulze
October 11th, 2003                      http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : openssl095
Vulnerability  : ASN.1 parsing vulnerability
Problem-Type   : remote
Debian-specific: no
CVE references : CAN-2003-0543 CAN-2003-0544 CAN-2003-0545

OpenSSL コアチームの Steve Henson さんが、British National Infrastructure
Security Coordination Centre (NISCC) の作成したテストプログラムにより発見
された OpenSSL の ASN1 コードの複数のバグを発見し、修正しました。

OpenSSL が SSL/TLS クライアントからのクライアント証明書を、プロトコルエラ
ーとして拒否すべきなのに解析してしまう場合があるという OpenSSL の SSL/TLS
プロトコル回りのバグも発見されました。

The Common Vulnerabilities and Exposures project では以下の問題を認識して
います。

CAN-2003-0543:

   OpenSSL の整数オーバフローにより、リモートの攻撃者がある種の ASN.1 タグ
   値を持った SSL クライアント証明書を用いてサービス不能攻撃 (クラッシュ) 
   を引き起こせます。

CAN-2003-0544:

   OpenSSL はある種の ASN.1 の文字数を正しく認識できず、これによりリモート
   の攻撃者からロングフォームが用いられている際にバッファを超えて読み出す
   よう細工された SSL クライアント証明書を用いてサービス不能攻撃 (クラッシ
   ュ) を引き起こせます。

CAN-2003-0545:

   不正な ASN.1 エンコーディングを持ったある種のクライアント証明書を用いて、
   リモートの攻撃者からメモリの二重解放を引き起こし、クラッシュおよび場合
   によっては任意のコードの実行が可能です。このバグは OpenSSL 0.9.7 にのみ
   存在し、ここでは参照のため掲載しています。

現安定版 (stable) woody では、これは openssl095 バージョン 
0.9.5a-6.woody.3 で修正されています。

このパッケージは不安定版 (unstable) およびテスト版 (testing) には存在しま
せん。

直ぐに openssl パッケージをアップグレードし、このライブラリを用いているサ
ービスをすべてリスタートすることを推奨します。Debian では、このパッケージ
を用いているパッケージはディストリビューションには含まれていません。

以下のコマンドラインは、Ray Dassen さんから提供いただいた、libssl095 がメ
モリ空間内にマップされている実行中のプロセスの名前の一覧を得るものです。

    find /proc -name maps -exec egrep -l 'libssl095' {} /dev/null \; \
    | sed -e 's/[^0-9]//g' | xargs --no-run-if-empty ps --no-headers -p | \
    sed -e 's/^\+//' -e 's/ \+/ /g' | cut -d ' ' -f 5 | sort | uniq

関連のサービスをリスタートしてください。

アップグレード手順
------------------

wget url
	でファイルを取得できます。
dpkg -i file.deb
        で参照されたファイルをインストールできます。

を用いて、次のコマンドを使ってください。

apt-get update
        これは内部データベースを更新します。
apt-get upgrade
        これで修正されたパッケージをインストールします。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 3.0 愛称 woody
- ------------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.dsc
      Size/MD5 checksum:      631 ba6e597ab2db2984aef6c2a765ac29c0
    http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.3.diff.gz
      Size/MD5 checksum:    38851 6b197111a7068a7ea29ef55176771d89
    http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
      Size/MD5 checksum:  1892089 99d22f1d4d23ff8b927f94a9df3997b4

  Alpha architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_alpha.deb
      Size/MD5 checksum:   497152 fe3d6854382f8dbe2d10f3f5700dd8f6

  ARM architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_arm.deb
      Size/MD5 checksum:   402498 551b79fbb80903f174d6edeffd9869df

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_i386.deb
      Size/MD5 checksum:   399752 2a856ac6b45d41beb0bf78880b236966

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_m68k.deb
      Size/MD5 checksum:   376738 980e428e9b913672d939ebe77c18cd6d

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mips.deb
      Size/MD5 checksum:   412624 b8c7cc0b4dcbf1cf03480b93c78cd610

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_mipsel.deb
      Size/MD5 checksum:   407388 de02385580cf33c344c1ffadcf8aed88

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_powerpc.deb
      Size/MD5 checksum:   425452 c3d04af89c64e6e9f0175e6cd4997058

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.3_sparc.deb
      Size/MD5 checksum:   412196 ae1181c2873a304c583800459da53e5a


  これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8
-- 
Seiji Kaneko                              skaneko@xxxxxxxxxxxx
--------------------------- http://plaza25.mbn.or.jp/~efialtes
足跡 = 55A4 898A C765 F20A 1693  7882 579A 3339 D6ED 97E8