检测

MagicLinux 7openssl-1.0.1e-51.el7.7 (AXSA:2016-685:04)

critical Nessus 插件 ID 289904

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 7 主机上存在安装的程序包该程序包受到公告 AXSA:2016-685:04 中提及的多个漏洞的影响。

 OpenSSL 工具包支持计算机之间的安全通信。OpenSSL 中包含证书管理工具和共享库,用于提供各种加密算法和协议。
 此版本修复的安全问题
 CVE-2016-2177 1.0.2h 及之前的 OpenSSL 未正确使用指针算法进行堆缓冲区边界检查这可能允许远程攻击者通过利用与 s3_srvr 相关的意外 malloc 行为造成拒绝服务整数溢出和应用程序崩溃或可能造成其他不明影响。 c、ssl_sess.c 和 t1_lib.c。
 CVE-2016-2178 在 及之前版本的 OpenSSL 1.0.2h 中crypto/dsa/dsa_ossl.c 的 dsa_sign_setup 函数未正确确保常数时间操作的使用使本地用户更容易通过时序边信道攻击发现 DSA 私钥。
 CVE-2016-21791.1.0 之前的 OpenSSL 中的 DTLS 实现未正确限制与未使用的乱序消息相关的队列条目使用期这允许远程攻击者通过同时维护多个构建的 DTLS 会话造成拒绝服务内存消耗与 d1_lib.c、statem_dtls.c、statem_lib.c 和 statem_srvr.c 相关。
 CVE-2016-2180 在 OpenSSL 1.0.2h 及之前版本的 X.509 公钥基础设施时间戳协议 (TSP) 实现中crypto/ts/ts_lib.c 的 TS_OBJ_print_bio 函数允许远程攻击者造成拒绝服务越界读取和应用程序崩溃通过 openssl ts 命令错误处理的构建的时间戳文件造成的。
 CVE-2016-2181 在低于 1.1.0 的 OpenSSL 中DTLS 实现的防重放功能未正确处理新 epoch 数与大序列号的过早使用这可允许远程攻击者通过欺骗 DTLS 记录与 rec_layer_d1.c 和 ssl3_record.c 相关。
 CVE-2016-21821.1.0 之前的 OpenSSL 中crypto/bn/bn_print.c 中的 BN_bn2dec 函数未正确验证分部结果这允许远程攻击者造成拒绝服务越界写入和应用程序崩溃或可能发动不明通过未知矢量造成的其他影响。
 CVE-2016-6302 在 1.1.0 之前的 OpenSSL 中ssl/t1_lib.c 的 tls_decrypt_ticket 函数在票证长度验证期间未考虑 HMAC 大小从而允许远程攻击者通过过短的票证造成拒绝服务。
 CVE-2016-6304 在低于 1.0.1u 的 OpenSSL 、低于 1.0.2i 的 1.0.2 以及低于 1.1.0a 的 1.1.0 中t1_lib.c 存在多种内存泄漏可允许远程攻击者通过大量 OCSP 状态请求扩展造成拒绝服务内存消耗。
 CVE-2016-6306 1.0.1u 之前的 OpenSSL 以及 1.0.2i 之前的 1.0.2 中的证书解析器可能允许远程攻击者通过特制的证书操作造成拒绝服务越界读取此问题与 s3_clnt.c 和 s3_srvr.c 相关。 。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 openssl、openssl-devel 和/或 openssl-libs 程序包。

另见

https://tsn.miraclelinux.com/en/node/7117

插件详情

严重性: Critical

ID: 289904

文件名: miracle_linux_AXSA-2016-685.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: High

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2016-2182

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:miracle:linux:openssl, cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:openssl-libs, p-cpe:/a:miracle:linux:openssl-devel

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2016/9/27

漏洞发布日期: 2016/5/5

参考资料信息

CVE: CVE-2016-2177, CVE-2016-2178, CVE-2016-2179, CVE-2016-2180, CVE-2016-2181, CVE-2016-2182, CVE-2016-6302, CVE-2016-6304, CVE-2016-6306