[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:47338] [Translate] [SECURITY] [DSA 1185-1] New openssl packages fix denial of service

かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を確認
ください。

------>8------------>8------------>8------------>8------------>8-
- --------------------------------------------------------------------------
Debian Security Advisory DSA 1185-1                    security@debian.org
http://www.debian.org/security/                             Noah Meyerhans
September 28th, 2006                    http://www.debian.org/security/faq
- --------------------------------------------------------------------------

Package        : openssl
Vulnerability  : サービス拒否攻撃
Problem-Type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2006-2940 CVE-2006-3738 CVE-2006-4343 CVE-2006-2937

複数の欠陥が OpenSSL 暗号化パッケージに発見されました。この欠陥を攻撃す
ることにより、攻撃対象のシステムでシステムリソースを使い尽くすことや、
プロセスクラッシュによるサービス拒否攻撃が可能です。

CVE-2006-2937
	OpenSSL コアチームおよび Open Network Security の Dr S N Henson
	さんにより、NISCC (www.niscc.gov.uk) 向けの ASN1 テスト集が開発
	されました。このテスト集を OpenSSL に対して実行したところ、二件
	のサービス拒否攻撃を許す欠陥が発見されました。

	ある種の不正な形式の ASN1 構造体を解析する際に、エラー条件の処
	理が誤っており、システムメモリを食いつぶす無限ループとなります。

	OpenSSL を用いて、信用できないソースからの ASN1 データを扱うア
	プリケーションすべてに影響があります。このようなアプリケーショ
	ンは、クライアントからの認証を有効とした SSL サーバや S/MIME ア
	プリケーションなどがあります。

CVE-2006-3738
	Google Security Team の Tavis Ormandy さんと Will Drewry さんによ
	り、SSL_get_shared_ciphers ユーティリティ関数にバッファオーバフロ
	ーが発見されました。 この関数は、exim や mysql などのアプリケーシ
	ョンでつかわれています。攻撃者は暗号のリストを送付することで、バ
	ッファをオーバランさせることができます。

CVE-2006-4343
	Google Security Team の Tavis Ormandy さんと Will Drewry さんによ
	り、sslv2 クライアント攻撃にサービス拒否攻撃を許す欠陥が発見され
	ました。クライアントアプリケーションが OpenSSL を用いて悪意を持っ
	たサーバに sslv2 コネクションを張ろうとした場合、サーバからクライ
	アントをクラッシュさせることが可能です。

CVE-2006-2940
	OpenSSL コアチームおよび Open Network Security の Dr S N Henson
	さんにより、NISCC (www.niscc.gov.uk) 向けの ASN1 テスト集が開発さ
	れました。このテスト集を OpenSSL に対して実行したところ、サービス
	拒否攻撃を許す欠陥が発見されました。

	ある種の形式の公開鍵の処理に鍵長に対して非線形の処理時間が必要に
	なるため、攻撃者がサービス拒否攻撃を引き起こすことが可能です。

安定版  (stable) ディストリビューション (sarge) では、この問題はバージョン
0.9.7e-3sarge3 で修正されています。

不安定版 (unstable) およびテスト版 (testing) ディストリビューションでは、
OpenSSL097 互換パッケージのバージョン 0.9.7k-2 および、openssl パッケージ
のバージョン 0.9.8c-2 で、おのおの修正されています。

直ぐに openssl パッケージをアップグレードすることを勧めます。また、OpenSSL
共有ライブラリにリンクしているサービスの再起動が必要です。そのようなサービ
スの例として、メール転送エージェント (MTA), SSH サーバや Webサーバなどが上
げられます。

アップグレード手順
------------------

wget url
        	でファイルを取得できます。
dpkg -i file.deb
                で参照されたファイルをインストールできます。

apt-get パッケージマネージャを用いている場合には、本メールのフッタ記載の
行を sources.list に加えて、

apt-get update
        を実行して内部データベースを更新し、
apt-get upgrade
        によって修正されたパッケージをインストールしてください。

本メールのフッタ記載の設定を自ホストの設定に加えることにより、自動更新を
行うこともできます。

Debian GNU/Linux 3.1 愛称 sarge
- --------------------------------

  ソースアーカイブ:

    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3.dsc
      Size/MD5 checksum:      639 fbf460591348b14103a3819d23164aee
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3.diff.gz
      Size/MD5 checksum:    29882 25e5c57ee6c86d1e4cc335937040f251
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e.orig.tar.gz
      Size/MD5 checksum:  3043231 a8777164bca38d84e5eb2b1535223474

  Alpha architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_alpha.deb
      Size/MD5 checksum:  3341810 73ef8e1cafbfd142a903bd93535a2428
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_alpha.deb
      Size/MD5 checksum:  2448006 b42d228cd1cb48024b25f5bd7c6724b8
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_alpha.deb
      Size/MD5 checksum:   930188 b0b9a46a47a1992ed455f993b6007450

  AMD64 architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_amd64.deb
      Size/MD5 checksum:  2693668 7a6d9f9ad43192bcfe9ed22bd4c227cb
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_amd64.deb
      Size/MD5 checksum:   703308 239e07d0029b78d339da49ea8dacb554
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_amd64.deb
      Size/MD5 checksum:   903744 de3413bf58707040d19a606311548ec7

  ARM architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_arm.deb
      Size/MD5 checksum:  2556374 4f3d5a82ab27e46f6174616dd2f0818c
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_arm.deb
      Size/MD5 checksum:   690118 80812ffefacc7d9800ce5286909aa815
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_arm.deb
      Size/MD5 checksum:   894114 053579483c0d83c11a4b15ade5e09d3b

  HP Precision architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_hppa.deb
      Size/MD5 checksum:  2695876 bee86edc3db3ac76a32efb84b1a1cfab
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_hppa.deb
      Size/MD5 checksum:   791316 5dfd66672700232356a26258a76bcffa
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_hppa.deb
      Size/MD5 checksum:   914574 bc996d3cd86b18090ee4c2f3f31dbdbc

  Intel IA-32 architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_i386.deb
      Size/MD5 checksum:  2553694 ceea98c69ca44649ee2c98cff0364e4b
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_i386.deb
      Size/MD5 checksum:  2264996 111668559caa8ea95ad3100af67e163e
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_i386.deb
      Size/MD5 checksum:   902750 39b743a6a47517245c3fba9289c86ddf

  Intel IA-64 architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_ia64.deb
      Size/MD5 checksum:  3396192 54868b4f5c27f5dc0a65b82594aa8bb0
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_ia64.deb
      Size/MD5 checksum:  1038386 7fcec764f3b3d3ee53588791f7588ad9
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_ia64.deb
      Size/MD5 checksum:   975118 18239f1932f399df0396e81a1e57e5e3

  Motorola 680x0 architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_m68k.deb
      Size/MD5 checksum:  2317346 cf221d4a25c8913c1183078f1974b46b
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_m68k.deb
      Size/MD5 checksum:   661672 1a1e72d032cbd37400a65ef7ddf9af6d
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_m68k.deb
      Size/MD5 checksum:   889874 6eaaf9b7b9651b37437b78d7a95a562a

  Big endian MIPS architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_mips.deb
      Size/MD5 checksum:  2779474 383cc3f4bd2c75515e415c48fc6c66eb
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_mips.deb
      Size/MD5 checksum:   706660 aaa773471c553fd971b3158e35ceb675
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_mips.deb
      Size/MD5 checksum:   896780 21c648b8e817ce098d9d85f311163e34

  Little endian MIPS architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_mipsel.deb
      Size/MD5 checksum:  2767338 bc2e40477ad28b1eedb69e6542b1ab08
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_mipsel.deb
      Size/MD5 checksum:   694486 8c31bcea415ae3d725844e45a733d7fe
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_mipsel.deb
      Size/MD5 checksum:   895860 8af869dc9a903f8a226d33cdcffc7eab

  PowerPC architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_powerpc.deb
      Size/MD5 checksum:  2775400 91f923d2f4f3938ef8a786b291865f0a
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_powerpc.deb
      Size/MD5 checksum:   779452 3b094894ca6d75b7c86684c7cd62f5bf
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_powerpc.deb
      Size/MD5 checksum:   908316 b93dffc572d91d9e4154b73c57b41e88

  IBM S/390 architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_s390.deb
      Size/MD5 checksum:  2717840 a96fb19009ddc10b1901f34e232109ae
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_s390.deb
      Size/MD5 checksum:   813968 1cf6dbddb023dfe8c55d30d19bc0ff57
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_s390.deb
      Size/MD5 checksum:   918504 73d2f71ec2c8ebd4cc3f481096202664

  Sun Sparc architecture:

    http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.7e-3sarge3_sparc.deb
      Size/MD5 checksum:  2630560 059abd03c994e3d6851f38f6f7dd5446
    http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.7_0.9.7e-3sarge3_sparc.deb
      Size/MD5 checksum:  1886038 4900a7af6cbef9e37c902a3c14ac33ac
    http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.7e-3sarge3_sparc.deb
      Size/MD5 checksum:   924472 27f194ff2250fc91d0375c02d6686272


      これらのファイルは次の版の安定版リリース時そちらに移されます。

- ---------------------------------------------------------------------------------
For apt-get: deb http://security.debian.org/ stable/updates main
For dpkg-ftp: ftp://security.debian.org/debian-security dists/stable/updates/main
Mailing list: debian-security-announce@lists.debian.org
Package info: `apt-cache show <pkg>' and http://packages.debian.org/<pkg>
------>8------------>8------------>8------------>8------------>8-
-- 
Seiji Kaneko                         skaneko@xxxxxxxxxxxx
---------------------------------------------------------