vine-users ML アーカイブ



[vine-users:058704] ANNOUNCE: errata of OpenSSL (Vine-2.6)

  • From: kawa <kawakawa@xxxxxxxxxxx>
  • Subject: [vine-users:058704] ANNOUNCE: errata of OpenSSL (Vine-2.6)
  • Date: Thu, 27 Feb 2003 22:41:48 +0900
かわぐち@SecurityWatchTeamです。

OpenSSL のセキュリティアドバイザリがリリースされましたのでお知らせします。

----------------------------------------------------------------------
●サマリ
日付          2003/2/27
タイトル      OpenSSL にセキュリティホール
パッケージ名  openssl, openssl-devel, openssl-perl
errata のURL  http://vinelinux.org/errata/25x/20030227-2.html
関連URL       
  http://www.openssl.org/
  http://www.openssl.org/news/secadv_20030219.txt
  http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0078
  http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/02.html#20030220_openssl
----------------------------------------------------------------------

問題の詳細
  OpenSSL 0.9.7 / 0.9.6h 以前に脆弱性が発見されています。今回はその他
 のこまかなバグの修正も含めて修正するため、ベースを 0.9.6i に変更して
 います。互換性に問題はないはずですが、全てのケースでテストはしていま
 せんので各自の使用環境でご確認の上、御利用下さい。
 以下、 セキュリティホールmemoより抜粋 

 SSL / TLS における CBC 暗号化方式に対してタイミングベースの攻撃が可能
 だという。OpenSSL-0.9.6c 以降において「block cipher padding errors」
 を利用した攻撃には既に対応していたが、「MAC verification errors」を
 利用した攻撃には対応されておらず、タイミングベースの攻撃を受けてしまう。
 OpenSSL 0.9.7a / 0.9.6i では MAC 計算が改良され、タイミングによる情報
 漏曳が最小化されている。

対象
 Vine-2.x/{i386,ppc,alpha} で OpenSSL を使用している人

修正パッケージ
 openssl-0.9.6i-0vl0.26.i386.rpm
 openssl-devel-0.9.6i-0vl0.26.i386.rpm
 openssl-perl-0.9.6i-0vl0.26.i386.rpm

アップデート方法
  apr-get update && apt-get upgrade
or
  apt-get update && apt-get openssl openssl-devel openssl-perl
or
  rpm -Fvh openssl-0.9.6i-0vl0.26.i386.rpm \
           openssl-devel-0.9.6i-0vl0.26.i386.rpm \
           openssl-perl-0.9.6i-0vl0.26.i386.rpm

注意事項
 特になし
----------------------------------------------------------------------





かわぐち/kawa
kawa@xxxxxxxxxxxxx
kawakawa@xxxxxxxxxxx