-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2015-2
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2015/01/26
 最終更新日   : 2015/01/26

 パッケージ名 : openssl

 タイトル : openssl に複数の脆弱性

 概要 : OpenSSL は、Secure Sockets Layer (SSL v2/v3) と、世界標準の暗号プロトコルである
      Transport Layer Security (TLS v1) を実装した、強固で商用に耐えうる、
      高機能な Open Source のツールキットです。

      OpenSSL に複数の脆弱性が存在します。

 影響 : ssl23_get_client_hello 関数の欠陥で、DoS 状態が発生する可能性があります (CVE-2014-3569)。
      BN_sqr 機能の欠陥で、第三者に暗号保護メカニズムが破られる可能性があります (CVE-2014-3570)。
      dtls1_get_record、ssl3_read_n 関数の欠陥で、DoS 状態が発生する可能性があります(CVE-2014-3571)。
      ssl3_get_key_exchange 関数の欠陥で、ECDHE-to-ECDH ダウングレード攻撃を受ける可能性があります (CVE-2014-3572)。
      第三者に指紋ベースの認証ブラックリスト保護メカニズムが破られる可能性があります (CVE-2014-8275)。
      ssl3_get_key_exchange 関数の欠陥で、RSA-to-EXPORT_RSA ダウングレード攻撃を受ける、
      brute-force 複合で弱い RSA キーを提供する可能性があります (CVE-2015-0204)。

 影響製品 :

    - Turbolinux Client 12.5
    - Turbolinux Appliance Server 3.0 x64 Edition
    - Turbolinux Appliance Server 3.0
    - Turbolinux 11 Server x64 Edition
    - Turbolinux 11 Server
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)
    - Turbolinux 10 Server x64 Edition (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux Client 12.5 の場合]
          アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし
          メニューから [アップデートの参照] を選択し行って下さい。

          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux 10 Server x64 Edition の場合]
          アップデートは、Kメニュー「左端の メニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr, Turbolinux 10 Server x64 Edition の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Client 12.5>

   Source Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/openssl-0.9.8h-13.src.rpm
      3612256 9d140d2becd8128ad9a10c047eaf4a06

   Binary Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-0.9.8h-13.i586.rpm
      1629249 0f317152e5a69c8bd3e381cf92f75894
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-devel-0.9.8h-13.i586.rpm
      1442873 658b5eb48ef587eb9b718dd608dfb65d

 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-17.src.rpm
      3522247 87806f1291246fed763c39aa7a7a207b

   Binary Packages
   Size: MD5

   openssl-0.9.8e-17.x86_64.rpm
      1781387 6c52ca2878c7d9a00be094bcb2d79c1f
   openssl-devel-0.9.8e-17.x86_64.rpm
      1981696 cddb42b80fc4ee3d75a378acb9d4f86b

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-17.src.rpm
      3522247 87806f1291246fed763c39aa7a7a207b

   Binary Packages
   Size: MD5

   openssl-0.9.8e-17.i686.rpm
      1710417 556f144ab1acd0684e79d74509a79130
   openssl-devel-0.9.8e-17.i686.rpm
      1918438 4642d15d9d253454947ec6ba77abe8a6

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-17.src.rpm
      3508998 884d6bb8621defd338ed2a1443164c2c

   Binary Packages
   Size: MD5

   openssl-0.9.8e-17.x86_64.rpm
      1781387 6c52ca2878c7d9a00be094bcb2d79c1f
   openssl-devel-0.9.8e-17.x86_64.rpm
      1981696 cddb42b80fc4ee3d75a378acb9d4f86b

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-17.src.rpm
      3522247 dcafff7cdc1e1dc8f2d22dee0ca7eb61

   Binary Packages
   Size: MD5

   openssl-0.9.8e-17.i686.rpm
      1710417 5e3fb5b15bad1adb30e0533c69ea1542
   openssl-devel-0.9.8e-17.i686.rpm
      1918438 7635934a15c819985e989deaa1b9b305

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   openssl-0.9.7d-23.src.rpm
      2976068 bfc8fb100a8b435604984718a7f0a1a6

   Binary Packages
   Size: MD5

   openssl-0.9.7d-23.i586.rpm
      1311617 d7b367bc5d9017a5e97937932f3e0091
   openssl-devel-0.9.7d-23.i586.rpm
      1496920 e00c49b5a1ce4d6ae15faa6851ee9f14

 <Turbolinux 10 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/openssl-0.9.7d-23.src.rpm
      2976068 bfc8fb100a8b435604984718a7f0a1a6

   Binary Packages
   Size: MD5

   openssl-0.9.7d-23.x86_64.rpm
      1421078 e4585c6d20957d8a28ac8df291d2a985
   openssl-devel-0.9.7d-23.x86_64.rpm
      1557090 b957c35669d7a0555c95ee56cd162e3e


 関連文章 :

 CVE
   [CVE-2014-3569]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3569
   [CVE-2014-3570]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3570
   [CVE-2014-3571]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3571
   [CVE-2014-3572]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3572
   [CVE-2014-8275]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8275
   [CVE-2015-0204]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204

 --------------------------------------------------------------------------
 更新履歴
   初版   2015/01/26
 --------------------------------------------------------------------------

 Copyright(C) 2015 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlTF5GoACgkQK0LzjOqIJMybXACfc/f39VLjlU7zPN3/aufSDHAB
+x0AnROFBVpEGiFWU0FOnolSHeIsIkue
=y4Sc
-----END PGP SIGNATURE-----