-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2015-12
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2015/05/13
 最終更新日   : 2015/05/13

 パッケージ名 : openssl

 タイトル : openssl に複数の脆弱性

 概要 : OpenSSL は、Secure Sockets Layer(SSL v2/v3)と、世界標準の暗号プロトコルである
     Transport Layer Security(TLS v1)を実装した、強固で商用に耐えうる、高機能な
     Open Source のツールキットです。

     OpenSSL に複数の脆弱性が存在します。

 影響 : d2i_ECPrivateKey 関数の欠陥で解放済みメモリ使用に脆弱性が存在し、第三者が細工した
     Elliptic Curve(EC) 秘密鍵ファイルを使用して、DoS 状態(メモリ破損、アプリケーション
     クラッシュ)にされる等、不特定の影響を受ける可能性があります(CVE-2015-0209)。

     ASN1_item_ex_d2i 関数の欠陥で ASN.1 データ構造に脆弱性が存在し、第三者が細工した
     ASN.1 データ構造を使用して、DoS 状態(不正な書込み操作、メモリ破損)にされる可能性が
     あります(CVE-2015-0287)。

     X509_to_X509_REQ 関数の欠陥で第三者が細工した鍵を使用して、DoS 状態(NULL ポインタの
     参照、アプリケーションクラッシュ)にされる可能性があります(CVE-2015-0288)。

     PKCS#7 実装の欠陥で第三者が細工した PKCS#7 を処理するアプリケーションを使用して、
     DoS 状態(NULL ポインタの参照、アプリケーションクラッシュ)にされる可能性があります
     (CVE-2015-0289)。

     base64-decoding 実装の欠陥で第三者が細工した base64 データを使用して、DoS 状態
     (メモリ破損)にされるな等、不特定の影響を受ける可能性があります(CVE-2015-0292)。

     SSLv2 実装の欠陥で第三者が細工した CLIENT-MASTER-KEY メッセージを使用して、DoS 状態
     (s2_lib.c のアサーション失敗、デーモン終了)にされる可能性があります(CVE-2015-0293)。

 影響製品 :

    - Turbolinux Client 12.5
    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition
    - Turbolinux 11 Server
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)
    - Turbolinux 10 Server x64 Edition (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux Client 12.5 の場合]
          アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし
          メニューから [アップデートの参照] を選択し行って下さい。

          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux 10 Server x64 Edition の場合]
          アップデートは、Kメニュー「左端の メニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr, Turbolinux 10 Server x64 Edition の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Client 12.5>

   Source Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/openssl-0.9.8h-14.src.rpm
      3616995 ea4eeeed45209418a34f672d67adf5b8

   Binary Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-0.9.8h-14.i586.rpm
      1630271 c5d2368694989dc693df7fcb4cea8ddc
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-devel-0.9.8h-14.i586.rpm
      1443508 1fe45cafa628a5d289f04b250f384229

 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-18.src.rpm
      3526793 c223cc3488ddfa3cf664d9a298186cf6

   Binary Packages
   Size: MD5

   openssl-0.9.8e-18.x86_64.rpm
      1781084 78fcfd515d0bf188a4c88ca3820aee7a
   openssl-devel-0.9.8e-18.x86_64.rpm
      1984108 4824054f80b0ffde6bc536eb7911e721

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-18.src.rpm
      3526793 c223cc3488ddfa3cf664d9a298186cf6

   Binary Packages
   Size: MD5

   openssl-0.9.8e-18.i686.rpm
      1710983 2ebd52e0b721eeb9111db9b038869a8c
   openssl-devel-0.9.8e-18.i686.rpm
      1921648 ea506d5e7c0170b5ce2e3d9c443302bc

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-18.src.rpm
      3512896 4d3aac67927f1fdb9877eed3b9925473

   Binary Packages
   Size: MD5

   openssl-0.9.8e-18.x86_64.rpm
      1781084 78fcfd515d0bf188a4c88ca3820aee7a
   openssl-devel-0.9.8e-18.x86_64.rpm
      1984108 4824054f80b0ffde6bc536eb7911e721

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-18.src.rpm
      3526793 c223cc3488ddfa3cf664d9a298186cf6

   Binary Packages
   Size: MD5

   openssl-0.9.8e-18.i686.rpm
      1710983 2ebd52e0b721eeb9111db9b038869a8c
   openssl-devel-0.9.8e-18.i686.rpm
      1921648 ea506d5e7c0170b5ce2e3d9c443302bc

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   openssl-0.9.7d-24.src.rpm
      2979760 1e40f0f77535304ea9b21e2f886fdbed

   Binary Packages
   Size: MD5

   openssl-0.9.7d-24.i586.rpm
      1311475 f4d5448ae2a3b10daddbbce385bf647d
   openssl-devel-0.9.7d-24.i586.rpm
      1497009 e779738c565449522cda293ca931828c

 <Turbolinux 10 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/openssl-0.9.7d-24.src.rpm
      2979760 1e40f0f77535304ea9b21e2f886fdbed

   Binary Packages
   Size: MD5

   openssl-0.9.7d-24.x86_64.rpm
      1422286 b7ec49e16ffc10113eac76c22594a653
   openssl-devel-0.9.7d-24.x86_64.rpm
      1556796 eed1c3df1e4b706b279c333e513bf449


 関連文章 :

 CVE
   [CVE-2015-0209]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0209
   [CVE-2015-0287]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0287
   [CVE-2015-0288]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0288
   [CVE-2015-0289]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0289
   [CVE-2015-0292]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0292
   [CVE-2015-0293]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0293

 --------------------------------------------------------------------------
 更新履歴
   初版   2015/05/13
 --------------------------------------------------------------------------

 Copyright(C) 2015 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlVSuIQACgkQK0LzjOqIJMwkZACfQaKMx6jeG0YPQXDEduvctx5u
26gAoJLBDco/iD28Qb4O5r/Wtb9C30ox
=gaox
-----END PGP SIGNATURE-----