<date>
2012,05,19

<title>
openssl にセキュリティホール

<target>
5.2/i386, 5.2/x86_64, 5.2/ppc

<url>
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4108
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4109
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4576
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4577
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4619
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0050
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0884
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1165
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2110
https://www.openssl.org/news/secadv_20120104.txt
https://www.openssl.org/news/secadv_20120118.txt
https://www.openssl.org/news/secadv_20120312.txt
https://www.openssl.org/news/secadv_20120419.txt
https://www.openssl.org/news/secadv_20120424.txt
https://www.openssl.org/news/secadv_20120510.txt
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2012/01.html#20120106_OpenSSL
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2012/05.html#20120511_OpenSSL

<info>
openssl に複数の問題が発見されました。<br/>
<br/>
DTLS 実装に問題が発見されました。<br/>
特定のパディングが有効である場合のみ MAC のチェックを実行するため、平文を復元される可能性があります。<br/>
(CVE-2011-4108, CVE-2012-0050)<br/>
<br/>
X509_V_FLAG_POLICY_CHECK フラグを立ててポリシーのチェックを行った場合、割り付けたメモリーを2重に解放してしまう問題があります。<br/>
(CVE-2011-4109)<br/>
<br/>
SSL 3.0 の処理に問題が発見されました。<br/>
SSL 3.0 のレコード・プロトコルでブロック暗号の padding をクリア漏れしていたため、メモリーに書いてあったデータが通信当事者に漏洩してしまう恐れがあります。<br/>
(CVE-2011-4576)<br/>
<br/>
RFC3779 の処理に問題が発見されました。<br/>
巧妙に作られた RFC3779 データを用いて、DoS 攻撃が行える可能性があります。
(CVE-2011-4577)<br/>
<br/>
SGC の処理に問題が発見されました。<br/>
ハンドシェークを restart すると DoS 攻撃が行える可能性があります。<br/>
(CVE-2011-4619)<br/>
<br/>
CMS と PKCS #7 実装に欠陥が発見されました。<br/>
この欠陥を攻撃することで暗号の解読ができる可能性があります。<br/>
(CVE-2012-0884)<br/>
<br/>
S/MIME メッセージの処理に問題が発見されました。<br/>
細工された S/MIME メッセージを用いての DoS 攻撃を許す可能性があります。<br/>
(CVE-2012-1165)<br/>
<br/>
ASN.1 データの処理に欠陥があり、ヒープオーバフローを引き起こす可能性があります。<br/>
(CVE-2012-2110)<br/>
<br/>
今回の更新で openssl は 0.9.8x にアップデートされます。<br/>
<br/>
なお、同時に報告されている CVE-2012-0027 はOpenSSL 1.0.0 台が対象のため、Vine 5.x では非該当です。<br/>
<br/>

<directory>
Vine-5.2/updates/RPMS/i386
Vine-5.2/updates/RPMS/x86_64
Vine-5.2/updates/RPMS/ppc

<update>
 [ size ] [ SHA1 checksum ]                        [ file name ]
  3948467 18436551340de383f244a6cfcb3f606ec057cbf3 openssl-0.9.8x-1vl5.src.rpm

  1560625 68f645c94b18127ffc04d6d70b5d9b1cf212b987 openssl-0.9.8x-1vl5.i386.rpm
  1072077 81236c572ec309346c8eaafee709f27923905b4c openssl-devel-0.9.8x-1vl5.i386.rpm
    22177 4b279ca0f0d78518802e8cda051598eb91740b8a openssl-perl-0.9.8x-1vl5.i386.rpm

  1638321 398776fe6af79535069dcc627121b15bf472435e openssl-0.9.8x-1vl5.ppc.rpm
  1072671 b9694dcd43b4d97888bc5e752edfa9f20f109c55 openssl-devel-0.9.8x-1vl5.ppc.rpm
    22111 ccfe52c69accbd67e1a29d49a5d89d1f2734c3b2 openssl-perl-0.9.8x-1vl5.ppc.rpm

  1621552 286c11e47705eb489d5be045b55acc3e06eda2a2 openssl-0.9.8x-1vl5.x86_64.rpm
  1072022 ebfe334eed43e21974ae9a3df01350ec6149ed30 openssl-devel-0.9.8x-1vl5.x86_64.rpm
    22145 110f256e0feb4a4c9e61fb3be6604e2e65502946 openssl-perl-0.9.8x-1vl5.x86_64.rpm
   715355 ef94198040cf0b3eaab479faa032210a961de670 compat32-openssl-0.9.8x-1vl5.i386.rpm
    14970 a2f356cb013d94c036a27bb5b0516e6615f8f492 compat32-openssl-devel-0.9.8x-1vl5.i386.rpm