[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[debian-users:54768] [Translate] [SECURITY] [DSA-2141-1] New openssl packages fix protocol design flaw



かねこです。
URL 等は Debian-security-announce メーリングリストの元記事を
確認
ください。
------>8------------>8------------>8------------>8----------
-->8-

- ----------------------------------------------------------
--------------
Debian Security Advisory DSA-2141-1                  securit
y@debian.org
http://www.debian.org/security/                           St
efan Fritsch
January 06, 2011                      http://www.debian.org/
security/faq
- ----------------------------------------------------------
--------------

Package        : openssl
Vulnerability  : SSL/TLS の、安全でない再ネゴシエーション関
係設計ミス
Problem type   : リモート
Debian-specific: いいえ
CVE ID         : CVE-2009-3555 CVE-2010-4180
Debian Bug     : 555829

CVE-2009-3555:

Marsh Ray, Steve Dispensa, および Martin Rex の各氏により TL
S
および SSLv3 プロトコルに欠陥が発見されました。攻撃者が TLS
コネクションの開始時に中間者攻撃を行える状況下で、攻撃者がユ
ーザのセッションの冒頭に任意のコンテンツを注入可能です。この
更新は、この問題に対処した新しい RFC5746 再ネゴシエーション
機
能拡張をバックポートしてサポートするものです。

Openssl がサーバアプリケーションで使われていた場合、RFC5746 
セキュア債ネゴシエーション機能拡張をサポートしないクライアン
トからの、再ネゴシエーション要求を受け付けなくなります。
iceweasel ウェブブラウザで利用しているセキュリティライブラリ
nss の RFC5746 サポートには別のアドバイゾリが発行されます。
apache2 には、安全でない再ネゴシエーションを許す選択を行うた
めの更新が提供されます。

この版の openssl は古い版の tor と互換性がありません。Debian
安定版 (stable) のポイントリリース 5.0.7 に収録された tor バ
ージョン 0.2.1.26-1~lenny+1 以降を使う必要があります。

現在同様の互換性問題が発生するソフトウェアがあるとの報告は受
けていません。

CVE-2010-4180:
 
更に、この更新ではクライアントが、サーバで指定した利用する暗
号アルゴリズムの設定を迂回できる欠陥が修正されています。

安定版 (stable) ディストリビューション (lenny) では、この問
題
はバージョン 0.9.8g-15+lenny11 で修正されています。

テスト版 (testing) および不安定版 (unstable) ディストリビュ
ー
ション (squeeze および sid) では、これらの問題はバージョン 
0.9.8o-4 で修正されています。

直ぐに openssl パッケージをアップグレードすることを勧めます
。

Debian Security Advisories に関する説明、これらの更新をシス
テム
に適用する方法、FAQ などは http://www.debian.org/security/ 
を参
照ください。

Mailing list: debian-security-announce@lists.debian.org
------>8------------>8------------>8------------>8----------
-->8-
--
Seiji Kaneko