-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2014-6
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2014/09/09
 最終更新日   : 2014/09/09

 パッケージ名 : openssl

 タイトル : openssl に複数の脆弱性

 概要 : OpenSSL は、Secure Sockets Layer (SSL v2/v3) と、世界標準の暗号プロトコルである
      Transport Layer Security (TLS v1) を実装した、強固で商用に耐えうる、
      高機能な Open Source のツールキットです。

      OpenSSL に複数の脆弱性が存在します。

 影響 : DTLS ハンドシェイクメッセージ処理の欠陥で、Dos 攻撃を受ける可能性があります(CVE-2009-1387)。
      ECDH 暗号スイートが使用されている場合、DoS 攻撃を受ける可能性があります(CVE-2014-3470)。
      メモリを二重に解放する欠陥で、DoS 攻撃を受ける可能性があります(CVE-2014-3505)。
      DTLS の実装の欠陥で、DoS 攻撃を受ける可能性があります(CVE-2014-3506)。
      OBJ_obj2txt 関数の欠陥で、スタックメモリから情報が取得される可能性があります(CVE-2014-3508)。
      ssl3_send_client_key_exchange 関数の欠陥で、Dos 攻撃を受ける可能性があります(CVE-2014-3510)。
      ssl23_get_client_hello 関数の欠陥で、TLS1.0 の使用を強制される可能性があります(CVE-2014-3511)。

 影響製品 :

    - Turbolinux Client 12.5
    - Turbolinux Appliance Server 3.0 x64 Edition
    - Turbolinux Appliance Server 3.0
    - Turbolinux 11 Server x64 Edition
    - Turbolinux 11 Server
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)
    - Turbolinux 10 Server x64 Edition (延長メンテナンス)
    - Turbolinux 10 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux Client 12.5 の場合]
          アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし
          メニューから [アップデートの参照] を選択し行って下さい。

          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux 10 Server, Turbolinux 10 Server x64 Edition の場合]
          アップデートは、Kメニュー「左端の メニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr, Turbolinux 10 Server の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel openssl-compat
 ----------------------------------------


 <Turbolinux Client 12.5>

   Source Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/openssl-0.9.8h-11.src.rpm
      3596719 fc1bb7a18ba8a6ae192cfc7d93fba832

   Binary Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-0.9.8h-11.i586.rpm
      1627713 6dbcf7e0c48e59fd92dddeca82542632
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-devel-0.9.8h-11.i586.rpm
      1440573 b869478ff6f1609ec4450a4e5b84969e

 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-15.src.rpm
      3523714 2104c658d29de22d5931a0c2ecef9fad

   Binary Packages
   Size: MD5

   openssl-0.9.8e-15.x86_64.rpm
      1782527 3e2ab5121e49f8174e1c8bee8bbe2eee
   openssl-devel-0.9.8e-15.x86_64.rpm
      1980072 ed41d8f39caf5a695daf0e6f3b3c9517

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-15.src.rpm
      3523714 2104c658d29de22d5931a0c2ecef9fad

   Binary Packages
   Size: MD5

   openssl-0.9.8e-15.i686.rpm
      1709904 a2e8df02824733290f352c52c6eddb49
   openssl-devel-0.9.8e-15.i686.rpm
      1920521 33a741318358aef6bc1bc9675189f9fb

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-15.src.rpm
      3509745 0062fefb9b8a29013377888a9fb5414e

   Binary Packages
   Size: MD5

   openssl-0.9.8e-15.x86_64.rpm
      1782527 3e2ab5121e49f8174e1c8bee8bbe2eee
   openssl-devel-0.9.8e-15.x86_64.rpm
      1980072 ed41d8f39caf5a695daf0e6f3b3c9517

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-15.src.rpm
      3523714 2104c658d29de22d5931a0c2ecef9fad

   Binary Packages
   Size: MD5

   openssl-0.9.8e-15.i686.rpm
      1709904 a2e8df02824733290f352c52c6eddb49
   openssl-devel-0.9.8e-15.i686.rpm
      1920521 33a741318358aef6bc1bc9675189f9fb

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   openssl-0.9.7d-21.src.rpm
      2965525 470e5c7c1203a19b9786060deeb567ba

   Binary Packages
   Size: MD5

   openssl-0.9.7d-21.i586.rpm
      1310448 a7879b03ea907ff22c956419aeb95d57
   openssl-devel-0.9.7d-21.i586.rpm
      1494849 4adaf375f0fd54ab55e1665ac7a4837f

 <Turbolinux 10 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/openssl-0.9.7d-21.src.rpm
      2965525 470e5c7c1203a19b9786060deeb567ba

   Binary Packages
   Size: MD5

   openssl-0.9.7d-21.x86_64.rpm
      1418994 9a75168e896fab8d2b1914d4b48572f3
   openssl-devel-0.9.7d-21.x86_64.rpm
      1556337 b2e057902fd0e34a62d76a13f919052e

 <Turbolinux 10 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/10/updates/SRPMS/openssl-0.9.7d-21.src.rpm
      2965525 470e5c7c1203a19b9786060deeb567ba

   Binary Packages
   Size: MD5

   openssl-0.9.7d-21.i586.rpm
      1310448 a7879b03ea907ff22c956419aeb95d57
   openssl-devel-0.9.7d-21.i586.rpm
      1494849 4adaf375f0fd54ab55e1665ac7a4837f


 関連文章 :

 CVE
   [CVE-2009-1387]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-1387
   [CVE-2014-3470]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3470
   [CVE-2014-3505]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3505
   [CVE-2014-3506]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3506
   [CVE-2014-3508]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3508
   [CVE-2014-3510]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3510
   [CVE-2014-3511]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3511

 --------------------------------------------------------------------------
 更新履歴
   初版   2014/09/09
 --------------------------------------------------------------------------

 Copyright(C) 2014 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlQOrfcACgkQK0LzjOqIJMwl8gCfRpGsVIHAl6trtNSKZFW3qZhp
b3EAoK2niWKPX4k44L1iyA2YgKu9vjG4
=EsHV
-----END PGP SIGNATURE-----