AIX OpenSSL 公告：openssl_advisory5.asc

medium Nessus 插件 ID 73563

语言：

简介

远程 AIX 主机正在运行有漏洞的 OpenSSL 版本。

描述

远程主机上运行的 OpenSSL 版本受到以下漏洞的影响：

- OpenSSL、OpenJDK、PolarSSL 和其他产品中使用的 TLS 协议 1.1 和 1.2 以及 DTLS 协议 1.0 和 1.2 在处理畸形 CBC 填充期间未正确考虑针对 MAC 检查要求的时序边信道攻击，这允许远程攻击者通过构建的数据包的时序数据统计分析执行区分攻击和明文恢复攻击，此问题也称为“Lucky Thirteen”问题。(CVE-2013-0169)

- 低于 0.9.8y 的 OpenSSL、低于 1.0.0k 的 OpenSSL 1.0.0，以及低于 1.0.1d 的 OpenSSL 1.0.1 不会对 OCSP 响应正确执行签名验证，这允许远程攻击者通过无效的密钥造成拒绝服务（空指针取消引用和应用程序崩溃）。
(CVE-2013-0166)

解决方案

AIX 网站上提供可供下载的补丁。

要从 tar 文件解压缩补丁：

zcat openssl-0.9.8.2500.tar.Z | tar xvf - 或 zcat openssl-fips-12.9.8.2500.tar.Z | tar xvf -

重要：如果可能，建议创建系统的 mksysb 备份。继续进行之前，验证其是否可启动并可读取。

要预览补丁的安装：

installp -apYd . openssl

要安装补丁程序包：

installp -aXYd . openssl