openssl

buffer overflowによるローカルユーザー権限奪取

リリース日付 : 2002-08-02

対策パッケージ : openssl-0.9.6e-1
　　　　　　　　　　　　 openssh-3.4p1-7
　　　　　　　　　　　　 kdelibs-2.2.2-9
　　　　　　　　　　　　 arts-2.2.2-9
　　　　　　　　　　　　 apache-1.3.26-5
　　　　　　　　　　　　 mod_ssl-2.8.10-5

問題点
・ SSL2 の client master key に buffer overflow の問題が存在します。
・ SSL3 においてクライアントに発行される session ID に buffer overflow の問題が存在します。

対策
以下のコマンドを実行し、バージョンをご確認ください。
表示されたバージョンより前のバージョンをご使用の場合はアップデートを行ってください。

# rpm -qa | grep パッケージ名

この問題に該当する場合は、最新パッケージをダウンロードし、以下のコマンドによってパッケージのアップデートを行ってください。
なお、バージョン番号については、ダウンロードしたパッケージ番号に読み替えて実行してください。
説明文中の "\"記号は、改行せずに続けて指定することを表しています。

実行例
---------------------------------------------------------------------

# rpm -Fvh package-1.0.0-1.i586.rpm \
package-doc-1.0.0-1.i586.rpm \
package-devel-1.0.0-1.i586.rpm

rpmコマンドを実行する際には、コマンドラインで次のように指定してください。

# rpm -Fvh package-1.0.0-1.i586.rpm package-doc-1.0.0-1.i586.rpm package-devel-1.0.0-1.i586.rpm
---------------------------------------------------------------------

<Turbolinux 8 Workstation>

# rpm -Fvh openssl-0.9.6e-1.i586.rpm \
openssl-devel-0.9.6e-1.i586.rpm \
openssh-3.4p1-7.i586.rpm \
openssh-askpass-3.4p1-7.i586.rpm \
openssh-clients-3.4p1-7.i586.rpm \
openssh-server-3.4p1-7.i586.rpm \
kdelibs-2.2.2-9.i586.rpm \
kdelibs-devel-2.2.2-9.i586.rpm \
arts-2.2.2-9.i586.rpm \
arts-devel-2.2.2-9.i586.rpm \
apache-1.3.26-5.i586.rpm \
apache-devel-1.3.26-5.i586.rpm \
apache-manual-1.3.26-5.i586.rpm \
mod_ssl-2.8.10-5.i586.rpm

<Turbolinux 7 Server>
<Turbolinux 7 Workstation>

# rpm -Fvh openssl-0.9.6e-1.i586.rpm \
openssl-devel-0.9.6e-1.i586.rpm \
openssh-3.4p1-7.i586.rpm \
openssh-askpass-3.4p1-7.i586.rpm \
openssh-clients-3.4p1-7.i586.rpm \
openssh-server-3.4p1-7.i586.rpm \
kdelibs-2.2.1-7.i586.rpm \
kdelibs-devel-2.2.1-7.i586.rpm \
arts-2.2.1-7.i586.rpm \
arts-devel-2.2.1-7.i586.rpm \
apache-1.3.26-5.i586.rpm \
apache-devel-1.3.26-5.i586.rpm \
apache-manual-1.3.26-5.i586.rpm \
mod_ssl-2.8.10-5.i586.rpm

<Turbolinux Server 6.5>

# rpm -Fvh openssl-0.9.6e-1.i386.rpm \
openssl-devel-0.9.6e-1.i386.rpm \
openssh-3.4p1-7.i386.rpm \
openssh-askpass-3.4p1-7.i386.rpm \
openssh-clients-3.4p1-7.i386.rpm \
openssh-server-3.4p1-7.i386.rpm \
apache-1.3.26-5.i386.rpm \
apache-devel-1.3.26-5.i386.rpm \
apache-manual-1.3.26-5.i386.rpm \
mod_ssl-2.8.10-5.i386.rpm

<Turbolinux Advanced Server 6>

# rpm -Fvh openssl-0.9.6e-1.i386.rpm \
openssl-devel-0.9.6e-1.i386.rpm \
openssh-3.4p1-7.i386.rpm \
openssh-askpass-3.4p1-7.i386.rpm \
openssh-askpass-gnome-3.4p1-7.i386.rpm \
openssh-clients-3.4p1-7.i386.rpm \
openssh-server-3.4p1-7.i386.rpm \
apache-1.3.26-5.i386.rpm \
apache-devel-1.3.26-5.i386.rpm \
apache-manual-1.3.26-5.i386.rpm \
↓（修正 2002/08/21）
apache-1.3.23-9.i386.rpm \
apache-devel-1.3.23-9.i386.rpm \
apache-manual-1.3.23-9.i386.rpm \
mod_ssl-2.8.10-5.i386.rpm

<Turbolinux Server 6.1>

# rpm -Fvh openssl-0.9.6e-1.i386.rpm \
openssl-devel-0.9.6e-1.i386.rpm \
openssh-3.4p1-7.i386.rpm \
openssh-askpass-gnome-3.4p1-7.i386.rpm \
openssh-clients-3.4p1-7.i386.rpm \
openssh-server-3.4p1-7.i386.rpm \
apache-1.3.23-8.i386.rpm \
apache-devel-1.3.23-8.i386.rpm \
apache-manual-1.3.23-8.i386.rpm \
mod_ssl-2.8.7-8.i386.rpm

<Turbolinux Workstation 6.0>

# rpm -Fvh openssl-0.9.6e-1.i386.rpm \
openssl-devel-0.9.6e-1.i386.rpm \
openssh-3.4p1-7.i386.rpm \
openssh-askpass-3.4p1-7.i386.rpm \
openssh-askpass-gnome-3.4p1-7.i386.rpm \
openssh-clients-3.4p1-7.i386.rpm \
openssh-server-3.4p1-7.i386.rpm

Package Update Path