Debian DSA-2309-1:openssl - 证书颁发机构受到破坏

low Nessus 插件 ID 56179
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在针对 DigiNotar 证书颁发机构发放的通过对以上公司的安全妥协获得的通常环境的证书中,发现多个欺骗性 SSL 证书。针对此事件进一步深入了解后,决定不再信任所有的 DigiNotar 签名证书。如同其他软件分销商和供应商,Debian 决定不信任所有 DigiNotar 的 CA。在此更新中,已将 crypto 库(OpenSSL 工具包中的一个组件)中的这些证书标记为撤销。所有使用所述组件的应用程序都将会拒绝 DigiNotar 签名的证书。个别应用程序可允许用户覆盖验证失败。不过,我们极不建议您允许例外状况,并应审慎验证。

此外,在 ECDHE_ECDS 密码中发现一个漏洞,攻击者可利用时序攻击轻易确定私钥。通用漏洞和暴露计划将其识别为 CVE-2011-1945。

解决方案

升级 openssl 程序包。

对于旧稳定发行版本 (lenny),已在版本 0.9.8g-15+lenny12 中修复这些问题。

对于稳定发行版本 (squeeze),已在版本 0.9.8o-4squeeze2 中修复这些问题。

另见

https://security-tracker.debian.org/tracker/CVE-2011-1945

https://packages.debian.org/source/squeeze/openssl

https://www.debian.org/security/2011/dsa-2309

插件详情

严重性: Low

ID: 56179

文件名: debian_DSA-2309.nasl

版本: 1.14

类型: local

代理: unix

发布时间: 2011/9/14

最近更新时间: 2021/1/11

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Low

分数: 2.5

CVSS v2

风险因素: Low

基本分数: 2.6

时间分数: 1.9

矢量: AV:N/AC:H/Au:N/C:P/I:N/A:N

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:debian:debian_linux:openssl, cpe:/o:debian:debian_linux:5.0, cpe:/o:debian:debian_linux:6.0

必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l

易利用性: No known exploits are available

补丁发布日期: 2011/9/13

参考资料信息

CVE: CVE-2011-1945

BID: 47888

DSA: 2309