2016,05,27 openssl にセキュリティホール、および関連パッケージのアップデート <target> 6.3/i386, 6.3/x86_64 <url> https://www.openssl.org/news/secadv/20160301.txt https://www.openssl.org/news/secadv/20160503.txt https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0702 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0797 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0798 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0799 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0800 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2106 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2107 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2108 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176 http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001554.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001612.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001613.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001614.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-001615.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002472.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002473.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002475.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002476.html http://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-002477.html <info> crypto/bn/bn_exp.c に問題が発見されました。<br/> ローカルユーザにより、被害者と同じ Intel Sandy Bridge CPU Core 上で巧妙に細工されたアプリケーションを実行され、キャッシュのバンクコンフリクトを引き起こされることで、RSA の鍵を取得される可能性があります。<br/> (CVE-2016-0702)<br/> <br/> crypto/dsa/dsa_ameth.c の dsa_priv_decode 関数に、メモリ二重解放の問題が発見されました。<br/> 第三者により、不正な形式の DSA 秘密鍵を介して、DoS (メモリ破損) 状態にされるなど、不特定の影響を受ける可能性があります。<br/> (CVE-2016-0705)<br/> <br/> crypto/bn/bn.h および crypto/bn/bn_print.c に問題が発見されました。<br/> 第三者により、DoS (ヒープメモリ破損またはNULL ポインタデリファレンス) 状態にされるなど、不特定の影響を受ける可能性があります。<br/> (CVE-2016-0797)<br/> <br/> SRP_VBASE_get_by_user の実装に問題が発見されました。<br/> メモリリークにより、DoS (メモリ消費) 状態にされる可能性があります。<br/> (CVE-2016-0798)<br/> <br/> crypto/bio/b_print.c に問題が発見されました。<br/> 第三者により、過度に長い文字列を介して、DoS (オーバーフローおよび out-of-bounds read) 状態にされるなど、不特定の影響を受ける可能性があります。<br/> (CVE-2016-0799)<br/> <br/> 遠隔の攻撃者に、SSLv2 をサポートしているサーバの暗号通信を解読される可能性があります。<br/> SSLv2 をサポートしており、TLS 通信で SSLv2 と同一の証明書を使用している場合、TLS の暗号通信であっても、同様の攻撃を受ける可能性があります。<br/> (CVE-2016-0800)<br/> <br/> crypto/evp/encode.c、crypto/evp/evp_enc.c に問題が発見されました。<br/> 第三者により、大量のバイナリデータを介して、DoS (ヒープメモリ破損) 状態にされる可能性があります。<br/> (CVE-2016-2105, 2016)<br/> <br/> AES-NI の実装に問題が発見されました。<br/> 第三者により、重要な平文情報を取得される可能性があります。<br/> 当問題は、CVE-2013-0169の修正が不完全だったことによる脆弱性です。<br/> (CVE-2016-2107)<br/> <br/> ASN.1 の実装に問題が発見されました。<br/> 第三者により、任意のコードを実行される、またはDoS(バッファアンダーフローおよびメモリ破損) 状態にされる可能性があります。<br/> 当問題は 1.0.1o で修正されています。<br/> (CVE-2016-2108)<br/> <br/> ASN.1 BIO の実装に問題が発見されました。<br/> 第三者により、DoS (メモリ消費) 状態にされる可能性があります。<br/> (CVE-2016-2109)<br/> <br/> crypto/x509/x509_obj.c に問題が発見されました。<br/> 第三者により、巧妙に細工された EBCDIC ASN.1 データを介して、プロセススタックメモリから重要な情報を取得される、またはDoS (バッファオーバーリード) 状態にされる可能性があります。<br/> (CVE-2016-2176)<br/> <br/> 今回の更新により openssl は 1.0.1t ベースにアップデートされます。<br/> <br/> CVE-2016-0800 の対策により SSLv2 プロトコルが無効化されています。<br/> これにより、以下のパッケージが同時に更新されます。<br/> <br/> apache2<br/> curl<br/> wget<br/> fetchmail (VinePlusパッケージ) <br/> <br/> <directory> Vine-6.3/updates/RPMS/i386 Vine-6.3/updates/RPMS/x86_64 <update> [ size ] [ SHA1 checksum ] [ file name ] 4570579 b43b151030ae67b7b5f9bf0efb9268a5c6e540f6 openssl-1.0.1t-1vl6.src.rpm 1832202 6945138fa95e5784cba8ef3a172b90319be9fc2e openssl-1.0.1t-1vl6.i686.rpm 1329945 8696d87531731b144258b4f5ea4eed07422469b3 openssl-devel-1.0.1t-1vl6.i686.rpm 28002 e5d3eefae0feaf606a3504a2eae69ada2b3ceece openssl-perl-1.0.1t-1vl6.i686.rpm 1139853 03e33d96f37752f89dfd2aea8acb7ad044065a69 openssl-static-1.0.1t-1vl6.i686.rpm 1952707 0780150343e8110b3377dff6628a7f5114ed5744 openssl-1.0.1t-1vl6.x86_64.rpm 1329967 47945efd8016e90420a5d31797695b6cc1212c20 openssl-devel-1.0.1t-1vl6.x86_64.rpm 27974 cdd7104c1c81114dfb1619d1fdea0c93f50252a5 openssl-perl-1.0.1t-1vl6.x86_64.rpm 1251819 1d11cc869d0ed863e2a30cd39e10e78c0ed05392 openssl-static-1.0.1t-1vl6.x86_64.rpm 977411 3664b677169e0b1a8a8fc44b1befac443e986ef6 compat32-openssl-1.0.1t-1vl6.i686.rpm 18296 743bdb3e8316866c5da3d5144a757f97d72ca094 compat32-openssl-devel-1.0.1t-1vl6.i686.rpm 5671635 76d8bbf81ae9fecf4bb13eb898ce6092b8ae55e4 apache2-2.2.31-2vl6.src.rpm 1250634 9f7c04c316803d70a5a4446778e87ae1400da194 apache2-2.2.31-2vl6.i686.rpm 155174 0aef6e1e4eba0d7fa4ecbbba7422eaa70c4990be apache2-devel-2.2.31-2vl6.i686.rpm 2920607 28337206060e7b636a93838d8a04af15ea326c9d apache2-manual-2.2.31-2vl6.i686.rpm 105873 11f21439bbcd3b29ca6a17f6493ea04a43117e2c mod_ssl-apache2-2.2.31-2vl6.i686.rpm 1276662 093b19b48b5d976493d6d63977ae5eac6c122373 apache2-2.2.31-2vl6.x86_64.rpm 155108 b87ae663049acc5a984c910dd5101134fde70852 apache2-devel-2.2.31-2vl6.x86_64.rpm 2920448 a906e3924596bb1f8533e6fce2468b8d02b027b4 apache2-manual-2.2.31-2vl6.x86_64.rpm 106035 1adb0123ee8cedd97c2add192777471c2c244c24 mod_ssl-apache2-2.2.31-2vl6.x86_64.rpm 2268755 4c6b5130373b1f511bc9b9c0981a831de2d47d75 curl-7.32.0-10vl6.src.rpm 599235 9aa67ef891852944c620b372cd2b9416c5c07f42 curl-7.32.0-10vl6.i686.rpm 209732 0211417a52355eaf627166c94bfdc4515e7d97bf curl-devel-7.32.0-10vl6.i686.rpm 593447 da804d586280bf015b73269973fe3f5a7343b91a curl-7.32.0-10vl6.x86_64.rpm 209673 f463811f58ec6f9bdd5d29fb606633794e3c45d4 curl-devel-7.32.0-10vl6.x86_64.rpm 205083 4fdae60ad4ff81c10e27b66e1c85d6e74a26b2bf compat32-curl-7.32.0-10vl6.i686.rpm 10563 585845f7996c3aaea31ae9b034057e49e299ef21 compat32-curl-devel-7.32.0-10vl6.i686.rpm 1603486 43a8fe9336f9ae5dae30e365ea0f04a00e30d783 wget-1.14-4vl6.src.rpm 821853 229ef9267d43294c61ea1588f161e2e91625678b wget-1.14-4vl6.i686.rpm 826532 7bb66f38a7b539562989d10c51ce96f39a3fe7ab wget-1.14-4vl6.x86_64.rpm