OracleVM 3.3：openssl (OVMSA-2014-0032) (Heartbleed) (POODLE)

high Nessus 插件 ID 79547

语言：

简介

远程 OracleVM 主机缺少安全更新。

描述

远程 OracleVM 系统缺少必要修补程序来解决关键安全更新：

- 修复 CVE-2014-3567 - 处理会话票证时的内存泄漏

- 修复 CVE-2014-3513 - srtp 支持中的内存泄漏

- 添加对回退 SCSV 的支持，以部分缓解 (CVE-2014-3566)（针对 SSL3 的填充攻击）

- 将 ECC TLS 扩展添加到 DTLS (#1119800)

- 修复 CVE-2014-3505 - DTLS 数据包处理中的双重释放

- 修复 CVE-2014-3506 - 避免在 DTLS 中出现内存耗尽

- 修复 CVE-2014-3507 - 避免在 DTLS 中出现内存泄漏

- 修复 CVE-2014-3508 - 修复 OID 处理以避免信息泄漏

- 修复 CVE-2014-3509 - 修复解析服务器 Hello 时的争用条件

- 修复 CVE-2014-3510 - 修复 DTLS 的匿名 (EC)DH 处理中的 DoS

- 修复 CVE-2014-3511 - 禁用通过片段降级协议

- 修复会中断 EAP-FAST 会话恢复支持的 CVE-2014-0224 补丁

- 从默认密码列表中删除 EXPORT、RC2 和 DES (#1057520)

- 打印在 TLS 握手中协商的临时密钥大小 (#1057715)

- 在 SSLv2 客户端 hello 中不包含 ECC 加密套件 (#1090952)

- 正确检测 BIO 中的加密失败 (#1100819)

- 如果 .hmac 文件为空，hmac 完整性检查失败 (#1105567)

- FIPS 模式：仅当设置了 OPENSSL_ENFORCE_MODULUS_BITS 环境变量时才强制实施 DSA、DH 和 RSA keygen 长度限制

- 修复了 CVE-2010-5298 - 可能的释放后内存使用

- 修复了 CVE-2014-0195 - 通过无效 DTLS 片段造成的缓冲区溢出

- 修复了 CVE-2014-0198 - 可能的空指针取消引用

- 修复了 CVE-2014-0221 - 无效的 DTLS 握手数据包造成的 DoS

- 修复了 CVE-2014-0224 - SSL/TLS MITM 漏洞

- 修复了 CVE-2014-3470 - 使用匿名 ECDH 时的客户端 DoS

- 添加回了对 secp521r1 EC 曲线的支持

- 修复了 CVE-2014-0160 - TLS 心跳信息扩展中的信息泄露

- 在 FIPS 自我测试中使用 2048 位 RSA 密钥

- 添加 FIPS CAVS 测试所需的 DH_compute_key_padded

- 使 3des 强度为 128 位，而不是 168 位 (#1056616)

- FIPS 模式：不生成 DSA 密钥且 DH 参数 < 2048 位

- FIPS 模式：使用批准的 RSA keygen（只允许 2048 和 3072 位密钥）

- FIPS 模式：添加 DH 自我测试

- FIPS 模式：在 RAND_add 上正确重新播种 DRBG

- FIPS 模式：添加 RSA 加密/解密自我测试

- FIPS 模式：对使用同一密钥的 2^32 GCM 块加密添加硬性限制

- 调用 req -newkey rsa 时使用配置
文件中的密钥长度

- 修复了 CVE-2013-4353 - 无效的 TLS 握手崩溃

- 修复了 CVE-2013-6450 - DTLS1 上可能的 MiTM 攻击

- 修复了 CVE-2013-6449 - 当 SSL 结构中的版本不正确时崩溃

- 添加回一些无意中漏掉的 no-op 符号