Ubuntu 7.04 / 7.10 / 8.04 LTS:openssl 漏洞 (USN-612-1)
high Nessus 插件 ID 65108
语言:
简介
远程 Ubuntu 主机缺少与安全相关的修补程序。描述
已发现 Debian 和 Ubuntu 系统上的 OpenSSL 使用的随机数发生器中存在漏洞。由于此漏洞,某些加密密钥超出了其本应具有的普遍性,略微了解系统的攻击者便可通过暴力破解猜出密钥。此漏洞尤其影响 OpenSSH、OpenVPN 和 SSL 证书中加密密钥的使用。此漏洞只影响基于 Debian 的操作系统(例如 Ubuntu)。但导入弱密钥的其他系统也可受到间接影响。
我们将此视为极为严重的漏洞,强烈建议所有用户立即采取措施保护其系统安全。(CVE-2008-0166)
== 受影响者 ==
运行以下任何版本的系统:
* Ubuntu 7.04 (Feisty) * Ubuntu 7.10 (Gutsy) * Ubuntu 8.04 LTS (Hardy)
* Ubuntu 'Intrepid Ibex' (development):libssl <= 0.9.8g-8 * Debian 4.0 (etch) (请参阅相应的 Debian 安全公告)
以及安装了 openssh-server 或者用于创建 OpenSSH 密钥或 X.509 (SSL) 证书的系统。
在这些系统上生成的所有 OpenSSH 和 X.509 密钥必须视为不受信任,而不管使用它们的系统为何,即使应用了更新后也一样。
这包括 OpenSSH 使用的自动生成的主机密钥,是其服务器欺骗和中间人保护的基础。
解决方案
更新受影响的 libssl0.9.8 程序包。另见
插件详情
严重性: High
ID: 65108
文件名: ubuntu_USN-612-1.nasl
版本: 1.10
类型: local
代理: unix
发布时间: 2013/3/9
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.1
CVSS v2
风险因素: High
基本分数: 7.8
时间分数: 6.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:N/A:N
漏洞信息
CPE: p-cpe:/a:canonical:ubuntu_linux:libssl0.9.8, cpe:/o:canonical:ubuntu_linux:7.04, cpe:/o:canonical:ubuntu_linux:8.04:-:lts, cpe:/o:canonical:ubuntu_linux:7.10
必需的 KB 项: Host/cpu, Host/Debian/dpkg-l, Host/Ubuntu, Host/Ubuntu/release
可利用: true
易利用性: Exploits are available
补丁发布日期: 2008/5/13
可利用的方式
Core Impact
参考资料信息
CVE: CVE-2008-0166
BID: 29179