OracleVM 3.2:onpenssl (OVMSA-2014-0008)

high Nessus 插件 ID 79532

简介

远程 OracleVM 主机缺少安全更新。

描述

远程 OracleVM 系统缺少必要修补程序来解决关键安全更新:

- 针对 CVE-2014-0224 的补丁 - SSL/TLS MITM 漏洞

- 替换 ca-bundle.crt 中过期的 GlobalSign 根 CA 证书

- 针对 CVE-2013-0169 的补丁 - SSL/TLS CBC 时序攻击 (#907589)

- 针对 CVE-2013-0166 的补丁 - OCSP 签名检查中的 DoS (#908052)

- 仅在明确要求或设置 OPENSSL_DEFAULT_ZLIB 环境变量时启用压缩(修复 CVE-2012-4929 #857051)

- 在所有地方使用 __secure_getenv 代替 getenv (#839735)

- 针对 CVE-2012-2333 的补丁 - 未正确检查 DTLS 中的记录长度 (#820686)

- 针对 CVE-2012-2110 的补丁 - asn1_d2i_read_bio 中的内存损坏 (#814185)

- 使用 SGC 重新启动修补程序修复问题可能会错误地终止握手

- 针对 CVE-2012-0884 的补丁 - CMS 和 PKCS#7 代码中的 MMA 漏洞 (#802725)

- 针对 CVE-2012-1165 的补丁 - 错误的 MIME 标头中的 NULL 读取取消引用 (#802489)

- 针对 CVE-2011-4108 和 CVE-2012-0050 的补丁 - DTLS 明文恢复漏洞和其他 DTLS 补丁 (#771770)

- 针对 CVE-2011-4109 的补丁 - 策略检查中的双重释放 (#771771)

- 针对 CVE-2011-4576 的补丁 - 未初始化 SSL 3.0 填充 (#771775)

- 针对 CVE-2011-4619 的补丁 - SGC 重新启动 DoS 攻击 (#771780)

- 为 SHA2 算法添加已知答案测试 (#740866)

- 将证书 Makefile 中的默认私钥长度设为 2048 位(可通过 PRIVATE_KEY_BITS 设置更改)(#745410)

- 修复 parse_yesno 中错误的返回值 (#726593)

- 已将 DigiCert CA 证书添加到 ca-bundle (#735819)

- 已将有关错误状态的新部分添加到 README.FIPS (#628976)

- 计算 DH 密钥时添加缺少的 DH_check_pub_key 调用 (#698175)

- SSL 中可用的密码的预排序列表 (#688901)

- 接受 s_server 中的连接,即使 getaddrinfo 失败 (#561260)

- 指向受支持摘要的列表的 openssl 摘要 (#608639)

- 修复对未来 TLS 版本的处理 (#599112)

- 已将 VeriSign 类 3 公共主证书颁发机构 - G5 和 StartCom 证书颁发机构证书添加到 ca-bundle(#675671、#617856)

- 针对 CHIL 引擎的上游补丁(#622003、#671484)

- 在 SSL_library_init 中添加 SHA-2 哈希 (#676384)

- 修复 CVE-2010-4180 - 完全禁用 SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG 的代码 (#659462)

- 修复 CVE-2009-3245 - 添加缺少的 bn_wexpand 返回检查 (#570924)

- 修复 CVE-2010-0433 - 不将空指针传递给 krb5_kt_get_entry(在 RHEL-5 和更新版本中,它会在此情况下崩溃)(#569774)

- 修复 CVE-2009-3555 - 支持安全重新协商扩展,并不允许默认情况下在服务器上进行传统重新协商 (#533125)

- 修复 CVE-2009-2409 - 从 EVP 表中丢弃 MD2 算法 (#510197)

- 修复 CVE-2009-4355 - 在通过应用程序提早调用 CRYPTO_cleanup_all_ex_data 时,不泄漏内存 (#546707)

解决方案

更新受影响的 openssl 程序包。

另见

https://oss.oracle.com/pipermail/oraclevm-errata/2014-June/000208.html

插件详情

严重性: High

ID: 79532

文件名: oraclevm_OVMSA-2014-0008.nasl

版本: 1.21

类型: local

发布时间: 2014/11/26

最近更新时间: 2021/1/4

风险信息

VPR

风险因素: High

分数: 7.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 8.3

矢量: AV:N/AC:L/Au:N/C:C/I:C/A:C

时间矢量: E:F/RL:OF/RC:C

CVSS v3

风险因素: High

基本分数: 7.4

时间分数: 6.9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: E:F/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:vm:openssl, cpe:/o:oracle:vm_server:3.2

必需的 KB 项: Host/local_checks_enabled, Host/OracleVM/release, Host/OracleVM/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/6/18

漏洞发布日期: 2009/7/30

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2009-2409, CVE-2009-3245, CVE-2009-3555, CVE-2009-4355, CVE-2010-0433, CVE-2010-4180, CVE-2011-4108, CVE-2011-4109, CVE-2011-4576, CVE-2011-4619, CVE-2012-0050, CVE-2012-0884, CVE-2012-1165, CVE-2012-2110, CVE-2012-2333, CVE-2012-4929, CVE-2013-0166, CVE-2013-0169, CVE-2014-0224

BID: 29330, 31692, 36935, 38562, 45164, 51281, 51563, 52428, 52764, 53158, 53476, 55704, 57755, 57778, 60268, 67899

CWE: 20, 310, 399