alt

NEWS


L2Connectの、OpenSSLの脆弱性(JVNVU#98667810、JVNVU#99474230)の影響と対策

2016-10-05
お知らせ



L2Connectの、OpenSSLの脆弱性(JVNVU#98667810、JVNVU#99474230)の影響と対策について

脆弱性の概要

https://jvn.jp/vu/JVNVU98667810/
http://jvn.jp/vu/JVNVU99474230/

影響

JVNVU98667810
重要度:高について
CVE-2016-6304
L2ConnectはRHE6 (OpenSSL 1.0.1e),RHEL7 (OpenSSL 1.0.1e)での影響は受けません。
Apache等でOCSP Stapling機能(サーバ側での証明書の正当性チェック)をご利用されている場合(デフォルトは無効)は対応が必須となります。
L2Connectの影響有無に関係なく最新のOpenSSLやその他更新プログラムをご利用することをおすすめします。

OpenSSLのみの更新手順

$sudo yum list updates

$sudo yum update openssl

$sudo rpm -q --changelog openssl | more
* 木 9月 22 2016 Tomáš Mráz <tmraz@redhat.com> 1.0.1e-48.3
- fix CVE-2016-2177 - possible integer overflow
- fix CVE-2016-2178 - non-constant time DSA operations
- fix CVE-2016-2179 - further DoS issues in DTLS
- fix CVE-2016-2180 - OOB read in TS_OBJ_print_bio()
- fix CVE-2016-2181 - DTLS1 replay protection and unprocessed records issue
- fix CVE-2016-2182 - possible buffer overflow in BN_bn2dec()
- fix CVE-2016-6302 - insufficient TLS session ticket HMAC length check
- fix CVE-2016-6304 - unbound memory growth with OCSP status request
- fix CVE-2016-6306 - certificate message OOB reads
- mitigate CVE-2016-2183 - degrade all 64bit block ciphers and RC4 to
112 bit effective strength
- replace expired testing certificates

JVNVU99474230
RHE6 (OpenSSL 1.0.1e),RHEL7 (OpenSSL 1.0.1e)での影響は受けません。

以上






Copyright© BizMobile Inc. All Rights Reserved. BizMobile株式会社
alt