Mandriva Linux 安全公告:stunnel (MDVSA-2015:096)
medium Nessus 插件 ID 82349
语言:
简介
远程 Mandriva Linux 主机缺少安全更新。描述
更新后的 stunnel 程序包修复了安全漏洞:在 stunnel(一款可向普通应用程序提供 SSL 支持的套接字封装程序)在 fork 后为 PRNG 执行(重新)初始化的方式中发现了一个缺陷。在接受新连接时,服务器 fork 和子进程将处理请求。openssl 的 RAND_bytes() 函数在 fork 后不重置其状态,但是使用 time(NULL) 的输出传播 PRNG。最重要的后果是使用 EC (ECDSA) 或 DSA 证书的服务器在特定条件下可能泄漏其私钥 (CVE-2014-0016)。
更新后的程序包通过使用线程而不是新进程来处理连接,解决了此问题。
还修正了以下问题:安装程序包时不创建 pid 文件的目录。
目前在 Mageia 4 中存在一个问题,其中,尝试使用 FIPS SSL 失败 (mga#13124)。可通过在配置中添加 fips = no 变通解决此问题。
解决方案
更新受影响的 stunnel 程序包。另见
插件详情
严重性: Medium
ID: 82349
文件名: mandriva_MDVSA-2015-096.nasl
版本: 1.4
类型: local
发布时间: 2015/3/30
最近更新时间: 2021/1/14
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 3.4
CVSS v2
风险因素: Medium
基本分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
漏洞信息
CPE: p-cpe:/a:mandriva:linux:stunnel, cpe:/o:mandriva:business_server:2
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
补丁发布日期: 2015/3/28
参考资料信息
CVE: CVE-2014-0016
MDVSA: 2015:096