* Non-maintainer upload by the Security Team
* Apply patch to fix infinite loop / memory allocation denial of
service due to mis-handling of error conditions on invalid ASN1
data. CVE-2006-2937
* Apply patch to fix a buffer overflow in the SSL_get_shared_ciphers
function. CVE-2006-3738
* Apply patch to fix a denial of service in the SSLv2 client code
whereby a malicious server could cause a client to crash.
CVE-2006-4343
* Apply patch to correct a potential denial of service attack when
parsing ASN1 data from untrusted sources. Certain types of public
key can take a disproportionate amount of time to process, allowing
an attacker to exhaust system resources. CVE-2006-2940
バージョン (スコア:0)
コレってかなり古いって事?
Re:バージョン (スコア:0, 参考になる)
ディストリビューションにはそれぞれの運用ルールがあって、一般には互換性が失われることを避けるためバージョンアップせずセキュリティホールだけを塞ぐという「(セキュリティパッチの)バックポート」という処理を行ないます。
ですからバージョンが古いからといってそのままセキュリティホールが残っていると判断するのは早計です。CVE番号やsecurityfocusなどのセキュリティ情報サイトの情報をもとに、該当する脆弱性が残っているのかどうかを確認すべきでしょう。
今回のセキュリティホールは CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4343 のCVE番号が付与されていますので、それを追いかければ現状を判断することが出来ます。
ちなみにDebianでは現時点 (2006/09/30 15:15現在) で対応が終わっていないようです。
Re:バージョン (スコア:0)
stableは知りませんが、unstableにはきてますね。
Re:バージョン (スコア:2, 参考になる)
openssl (0.9.7e-3sarge3) stable-security; urgency=high
* Non-maintainer upload by the Security Team
* Apply patch to fix infinite loop / memory allocation denial of
service due to mis-handling of error conditions on invalid ASN1
data. CVE-2006-2937
* Apply patch to fix a buffer overflow in the SSL_get_shared_ciphers
function. CVE-2006-3738
* Apply patch to fix a denial of service in the SSLv2 client code
whereby a malicious server could cause a client to crash.
CVE-2006-4343
* Apply patch to correct a potential denial of service attack when
parsing ASN1 data from untrusted sources. Certain types of public
key can take a disproportionate amount of time to process, allowing
an attacker to exhaust system resources. CVE-2006-2940
-- Noah Meyerhans Tue, 26 Sep 2006 17:36:05 -0400