openSUSE 安全更新:mbedtls (openSUSE-2016-903)
medium Nessus 插件 ID 92625
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
此 1.3.17 版的 mbedtls 更新可修复下列问题:修复的安全问题:
- 修复 PKCS1 v2.2 所需的 mbedtls_rsa_rsaes_pkcs1_v15_decrypt 中缺少的 padding 长度检查。
- 修复 mbedtls_rsa_rsaes_oaep_decrypt 中会导致缓冲区越界读取的潜在整数下溢问题。此问题无法在 SSL/TLS 中远程触发。
- 修复 mbedtls_rsa_rsaes_pkcs1_v15_encrypt 和 mbedtls_rsa_rsaes_oaep_encrypt 中会导致缓冲区溢出的潜在整数溢出问题
修复的缺陷:
- 修复 mbedtls_mpi_add_mpi() 中的缺陷,该缺陷会在三个参数相同时(就地倍增)造成错误结果。由 Janos Follath 发现并修复。
#309
- 修复 Makefile 中导致无法使用 armar 构建的问题。
- 修复生成 odd bitlength 的 RSA 密钥时造成挂起的问题。
- 修复 mbedtls_rsa_rsaes_pkcs1_v15_encrypt 中可能引发空指针取消引用的缺陷。
- 修复将无效曲线传递至 mbedtls_ssl_conf_curves 时会造成崩溃的问题。#373
其他更改:
- 在 ARM 平台上,通过 GCC、Clang 或 armcc5 以 -O0 编译时,不针对 bignum 乘法使用优化组件。这会消除传递 -fomit-frame-pointer 的必要性,
可避免 -O0 的构建错误。
- 禁用了默认配置中的 SSLv3。
- 修复不合规的服务器扩展处理。现在会根据 RFC6101 的要求,忽略 SSLv3 的扩展。
解决方案
更新受影响的 mbedtls 程序包。另见
插件详情
严重性: Medium
ID: 92625
文件名: openSUSE-2016-903.nasl
版本: 2.3
类型: local
代理: unix
发布时间: 2016/7/29
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
漏洞信息
CPE: p-cpe:/a:novell:opensuse:libmbedtls9, p-cpe:/a:novell:opensuse:libmbedtls9-32bit, p-cpe:/a:novell:opensuse:libmbedtls9-debuginfo, p-cpe:/a:novell:opensuse:libmbedtls9-debuginfo-32bit, p-cpe:/a:novell:opensuse:mbedtls-debugsource, p-cpe:/a:novell:opensuse:mbedtls-devel, cpe:/o:novell:opensuse:42.1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2016/7/27