AIX OpenSSL 公告:openssl_advisory15.asc
medium Nessus 插件 ID 88085
语言:
简介
远程 AIX 主机安装的 OpenSSL 版本受到多种漏洞的影响。描述
远程 AIX 主机上安装的 OpenSSL 版本受到多种漏洞影响:- 使用 RSA PSS 算法处理 ASN.1 签名但缺少掩码生成函数参数时 rsa_ameth.c 文件中存在一个空指针取消引用缺陷。远程攻击者可利用此问题造成签名验证例程崩溃,从而导致拒绝服务。(CVE-2015-3194)
- 文件 tasn_dec.c 的 ASN1_TFLG_COMBINE 实现中存在与处理畸形 X509_ATTRIBUTE 结构相关的缺陷。远程攻击者可利用此漏洞通过触发 PKCS#7 或 CMS 应用程序中的解码失败导致内存泄漏,从而导致拒绝服务。(CVE-2015-3195)
- 在 s3_clnt.c 中存在争用条件,触发条件:多线程客户端接收父 SSL_CTX 结构中的 PSK 身份提示时,未能对其进行正确的更新。远程攻击者可利用此问题,通过构建的 ServerKeyExchange 消息造成重复释放内存错误,并导致拒绝服务。(CVE-2015-3196)
解决方案
AIX 网站上提供可供下载的修复。另见
https://aix.software.ibm.com/aix/efixes/security/openssl_advisory15.asc
https://www-01.ibm.com/marketing/iwm/iwm/web/preLogin.do?source=aixbp
插件详情
严重性: Medium
ID: 88085
文件名: aix_openssl_advisory15.nasl
版本: 1.14
类型: local
发布时间: 2016/1/22
最近更新时间: 2023/4/21
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
漏洞信息
CPE: cpe:/o:ibm:aix, cpe:/a:openssl:openssl
必需的 KB 项: Host/local_checks_enabled, Host/AIX/version, Host/AIX/lslpp
补丁发布日期: 2016/1/18
漏洞发布日期: 2015/12/3