Debian DSA-3053-1:openssl - 安全更新 (POODLE)
low Nessus 插件 ID 78520
语言:
简介
远程 Debian 主机缺少与安全相关的更新。描述
在安全套接字层库和工具包 OpenSSL 中发现了多个漏洞。- CVE-2014-3513 在 OpenSSL 解析 DTLS 安全实时传输协议 (SRTP) 扩展数据的方式中发现了一个信息泄漏缺陷。远程攻击者可发送多个特别构建的握手消息,以耗尽 SSL/TLS 或 DTLS 服务器的所有可用内存。
- CVE-2014-3566(“POODLE”)在 SSL 3.0 解密使用密码块链接 (CBC) 模式中的块密码进行加密的消息时处理填充字节的方式中发现一个缺陷。如果中间人 (MITM) 攻击者能够强制受害的应用程序通过新创建的 SSL 3.0 连接不断地发送同样的数据,就能将选中的加密文本字节在 256 次内解密。
此更新添加了对回退 SCSV 的支持,以缓解该问题。
- CVE-2014-3567 在 OpenSSL 处理失败的会话票证完整性检查的方式中发现一个内存泄漏缺陷。远程攻击者可通过向 SSL/TLS 或 DTLS 服务器发送大量无效的会话票证来耗尽该服务器的所有可用内存。
- CVE-2014-3568 将“no-ssl3”作为构建选项来配置 OpenSSL 时,服务器可接受和完成 SSL 3.0 握手,客户端可被配置为发送它们。
解决方案
升级 openssl 程序包。对于稳定发行版本 (wheezy),已在版本 1.0.1e-2+deb7u13 中修复这些问题。
另见
https://security-tracker.debian.org/tracker/CVE-2014-3513
https://security-tracker.debian.org/tracker/CVE-2014-3566
https://security-tracker.debian.org/tracker/CVE-2014-3567
https://security-tracker.debian.org/tracker/CVE-2014-3568
插件详情
严重性: Low
ID: 78520
文件名: debian_DSA-3053.nasl
版本: 1.28
类型: local
代理: unix
发布时间: 2014/10/17
最近更新时间: 2023/6/26
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.1
CVSS v2
风险因素: High
基本分数: 7.1
时间分数: 5.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C
CVSS v3
风险因素: Low
基本分数: 3.4
时间分数: 3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:openssl, cpe:/o:debian:debian_linux:7.0
必需的 KB 项: Host/local_checks_enabled, Host/Debian/release, Host/Debian/dpkg-l
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/10/16
漏洞发布日期: 2014/10/15
参考资料信息
CVE: CVE-2014-3513, CVE-2014-3566, CVE-2014-3567, CVE-2014-3568
BID: 70574, 70584, 70585, 70586
DSA: 3053