检测

MagicLinux 4openssl-1.0.1e-16.AXS4.14 (AXSA:2014-381:03)

high Nessus 插件 ID 289254

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2014-381:03 公告中提及的多个漏洞的影响。

 OpenSSL 是一个用于支持加密的工具包。openssl-devel 程序包中包含开发支持各种加密算法和协议的应用程序所需的 include 文件。
 此版本修复的安全问题
 CVE-2010-5298 当启用 SSL_MODE_RELEASE_BUFFERS 时OpenSSL 到 1.0.1g 的 s3_pkt.c 中的 ssl3_read_bytes 函数存在争用条件允许远程攻击者通过 SSL 连接跨会话注入数据或造成拒绝服务释放后使用和解析错误在多线程环境中。
 CVE-2014-0195 在 0.9.8za 之前的 OpenSSL、1.0.0m 之前的 1.0.0 OpenSSL以及 1.0.11.0.1h之前的 OpenSSL 中d1_both.c 中的 dtls1_reassemble_fragment 函数未正确验证 DTLS ClientHello 消息中的片段长度这允许远程攻击者执行任意代码或通过非初始长片段造成拒绝服务缓冲区溢出和应用程序崩溃。
 CVE-2014-0198 当启用 SSL_MODE_RELEASE_BUFFERS 时OpenSSL 1.x 到 1.0.1g 中 s3_pkt.c 的 do_ssl3_write 函数在特定递归调用期间未正确管理缓冲区指针从而允许远程攻击者造成拒绝服务空指针取消引用和通过触发警报条件的矢量来造成的应用程序崩溃。
 CVE-2014-0221 在 0.9.8za 之前的 OpenSSL、1.0.0m 之前的 1.0.0 以及 1.0.1h 之前的 1.0.1 中d1_both.c 中的 dtls1_get_message_fragment 函数允许远程攻击者通过 DTLS hello 消息造成拒绝服务递归和客户端崩溃无效的 DTLS 握手中的错误。
 0.9.8za 之前的CVE-2014-0224 OpenSSL、1.0.0m 之前的 1.0.0 以及 1.0.1h 之前的 1.0.1 未正确限制 ChangeCipherSpec 消息的处理这允许中间人攻击者触发零长度主控端的使用key 从而通过构建的 TLS 握手劫持会话或获取敏感信息也称为 CCS 注入漏洞。
 CVE-2014-3470 当使用匿名 ECDH 加密套件时在 0.9.8za 之前的 OpenSSL、1.0.0m 之前的 OpenSSL 以及 1.0.1h 之前的 1.0.01.0.1 中 s3_clnt.c 内的 ssl3_send_client_key_exchange 函数可让远程攻击者造成拒绝服务 (空指针取消引用和客户端崩溃问题通过触发 NULL 证书值造成的。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 openssl 和/或 openssl-devel 程序包。

另见

https://tsn.miraclelinux.com/en/node/4824

插件详情

严重性: High

ID: 289254

文件名: miracle_linux_AXSA-2014-381.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5.6

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2014-0195

CVSS v3

风险因素: High

基本分数: 7.4

时间分数: 6.9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:F/RL:O/RC:C

CVSS 分数来源: CVE-2014-0224

漏洞信息

CPE: p-cpe:/a:miracle:linux:openssl, cpe:/o:miracle:linux:4, p-cpe:/a:miracle:linux:openssl-devel

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/6/9

漏洞发布日期: 2014/2/14

可利用的方式

Core Impact

参考资料信息

CVE: CVE-2010-5298, CVE-2014-0195, CVE-2014-0198, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470

IAVA: 2014-A-0063-S, 2014-A-0100-S, 2014-A-0110-S, 2014-A-0111-S

IAVB: 2014-B-0085-S