检测

插件

RHEL 6：openssl (RHSA-2012:0059)

high Nessus 插件 ID 57677

语言：

简介

远程 Red Hat 主机缺少一个或多个 openssl 安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2012:0059 公告中提及的多个漏洞的影响。

OpenSSL 是用于实现安全套接字层 (SSL v2/v3) 和传输层安全 (TLS v1) 协议以及强大的通用密码库的工具包。

发现 OpenSSL 中的数据报传输层安全 (DTLS) 协议实现在执行某些操作时泄漏了定时信息。远程攻击者可能会利用此缺陷，通过将 DTLS 服务器用作 padding oracle，从加密数据包中找回明文。 (CVE-2011-4108)

在 OpenSSL 中的 SSL 3.0 协议实现中发现一个信息泄漏缺陷。未正确初始化 SSL 记录填充字节可导致 SSL 客户端或服务器通过加密连接向其 SSL 对等机发送有限的可能敏感的数据。
(CVE-2011-4576)

在 OpenSSL 的 RFC 3779 实现中发现拒绝服务缺陷。远程攻击者可利用此缺陷，通过提供包含畸形 RFC 3779 扩展数据的特制 X.509 证书，造成使用 OpenSSL 的应用程序意外退出。 (CVE-2011-4577)

已发现 OpenSSL 未限制支持服务器网关加密所需的 TLS/SSL 握手重启次数。远程攻击者可利用此缺陷，通过持续重新启动握手令使用 OpenSSL 的 TLS/SSL 服务器消耗过量 CPU。
(CVE-2011-4619)

所有 OpenSSL 用户应升级这些更新后的程序包，其中包含用于解决这些问题的向后移植的修补程序。为使更新生效，必须重新启动所有链接到 OpenSSL 库的服务，或重新启动系统。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

依据 RHSA-2012:0059 中的指南更新 RHEL openssl 程序包。

另见

http://www.nessus.org/u?79a53a72

https://access.redhat.com/errata/RHSA-2012:0059

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=771770

https://bugzilla.redhat.com/show_bug.cgi?id=771775

https://bugzilla.redhat.com/show_bug.cgi?id=771778

https://bugzilla.redhat.com/show_bug.cgi?id=771780

插件详情

严重性: High

ID: 57677

文件名: redhat-RHSA-2012-0059.nasl

版本: 1.24

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2012/1/25

最近更新时间: 2025/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2011-4576

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2011-4619

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:openssl-devel, p-cpe:/a:redhat:enterprise_linux:openssl-static, p-cpe:/a:redhat:enterprise_linux:openssl, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:openssl-perl

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2012/1/24

漏洞发布日期: 2012/1/6

参考资料信息

CVE: CVE-2011-4108, CVE-2011-4576, CVE-2011-4577, CVE-2011-4619

BID: 51281

RHSA: 2012:0059