检测

MagicLinux 7openssl-1.0.1e-51.el7.5 (AXSA:2016-230:03)

critical Nessus 插件 ID 289553

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2016-230:03 公告中提及的多个漏洞的影响。

 OpenSSL 工具包支持计算机之间的安全通信。OpenSSL 中包含证书管理工具和共享库,用于提供各种加密算法和协议。
 此版本修复的安全问题
 CVE-2016-0799 OpenSSL 1.0.1s 之前的 1.0.1 以及 1.0.2g 之前的 1.0.2 的 crypto/bio/b_print.c 中的 fmtstr 函数未正确计算字符串长度这允许远程攻击者造成拒绝服务溢出和越界bound read) 或可能通过长字符串具有其他不明影响此项已由大量 ASN.1 数据证实此漏洞与 CVE-2016-2842不同。
 CVE-2016-2105 在 1.0.1t 之前的 OpenSSL 和 1.0.2h 之前的 1.0.2 版本的 crypto/evp/encode.c 中EVP_EncodeUpdate 函数的整数溢出可让远程攻击者通过大量二进制数据造成拒绝服务堆内存损坏。
 CVE-2016-2106 在 1.0.1t 之前的 OpenSSL 和 1.0.2h 之前的 1.0.2 中crypto/evp/evp_enc.c 中的 EVP_EncryptUpdate 函数内的整数溢出可允许远程攻击者通过大量数据造成拒绝服务堆内存损坏。
 CVE-2016-2107 1.0.1t 之前的 OpenSSL 以及 1.0.2h 之前的 1.0.2 中的 AES-NI 实现在特定填充检查期间未考虑内存分配这允许远程攻击者通过对 AES CBC 的 padding-oracle 攻击获取敏感明文信息session注意存在此漏洞的原因是对 CVE-2013-0169的修复不正确。
 CVE-2016-2108 1.0.1o 之前的 OpenSSL 以及 1.0.2c 之前的 1.0.2 中的 ASN.1 实现允许远程攻击者通过构建的序列化数据中的 ANY 字段执行任意代码或造成拒绝服务缓冲区下溢和内存损坏即负的零问题。
 CVE-2016-2109 在低于 1.0.1t 的 OpenSSL 和低于 1.0.2h 的 OpenSSL 的 1.0.2 中ASN.1 BIO 实现中crypto/asn1/a_d2i_fp.c 内的 asn1_d2i_read_bio 函数允许远程攻击者通过短无效格式造成拒绝服务内存消耗编码。
 CVE-2016-2842 OpenSSL 1.0.1s 之前的 1.0.1 以及 1.0.2g 之前的 1.0.2 中 crypto/bio/b_print.c 内的 doapr_outch 函数未验证特定内存分配是否成功这允许远程攻击者造成拒绝服务越界写入或内存消耗或可能通过长字符串造成的其他不明影响此漏洞与 CVE-2016-0799不同。已由大量 ASN.1 数据证实。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 openssl、openssl-devel 和/或 openssl-libs 程序包。

另见

https://tsn.miraclelinux.com/en/node/6617

插件详情

严重性: Critical

ID: 289553

文件名: miracle_linux_AXSA-2016-230.nasl

版本: 1.2

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/17

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2016-2842

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:openssl, p-cpe:/a:miracle:linux:openssl-devel, p-cpe:/a:miracle:linux:openssl-libs, cpe:/o:miracle:linux:7

必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/5/9

漏洞发布日期: 2013/2/4

参考资料信息

CVE: CVE-2013-0169, CVE-2016-0799, CVE-2016-2105, CVE-2016-2106, CVE-2016-2107, CVE-2016-2108, CVE-2016-2109, CVE-2016-2842

IAVB: 2016-B-0083-S, 2016-B-0160-S