Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

CVE-2016-2105、CVE-2016-2106、CVE-2016-2107、CVE-2016-2108、CVE-2016-2109、CVE-2016-2176 (OpenSSL 2016 年 5 月 3 日) の解決方法

Solution Verified - Updated -

Environment

  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 6
  • Red Hat Enterprise Linux 5
  • openssl、openssl097a、openssl098e

Issue

  • OpenSSL プロジェクトチームは、2016 年 5 月 3 日に OpenSSL のバージョン 1.0.2h および 1.0.1t のリリースを発表しました。この OpenSSL ツールキットの新しいバージョンでは、Red Hat 製品セキュリティーチームが影響度を「中程度」「重要」「低度」と指定したセキュリティ問題が修正されます。
  • この問題の影響を受ける Red Hat の OpenSSL 製品とバージョンはどれですか?
  • openssl: EVP_EncodeUpdate のオーバーフロー (CVE-2016-2105)
  • openssl: EVP_EncryptUpdate のオーバーフロー (CVE-2016-2106)
  • openssl: AES-NI CBC MAC チェックで oracle をパディング (CVE-2016-2107)
  • openssl: ASN.1 エンコーダーにおけるメモリー破損 (CVE-2016-2108)
  • openssl: 大量のデータを ASN.1 BIO 処理 (CVE-2016-2109)
  • openssl: X509_NAME_oneline() における EBCDIC オーバーリード (CVE-2016-2176)

Resolution

Red Hat Enterprise Linux は、以下の CVE の影響を受けます。
この問題は、以下の opensslアップデートで対応される予定です (Red Hat セキュリティーチームが現在対応しています)。

CVE 重要度 BZ プラットフォーム エラータ パッケージ ステータス
CVE-2016-2105 中程度 1331441 Red Hat Enterprise Linux 7 RHSA-2016-0722 openssl-1.0.1e-51.el7_2.5 リリース済
Red Hat Enterprise Linux 7 - openssl098e 修正の予定なし
Red Hat Enterprise Linux 6 RHSA-2016-0996 openssl-1.0.1e-48.el6_8.1 リリース済
Red Hat Enterprise Linux 6 - openssl098e 修正の予定なし
Red Hat Enterprise Linux 5 - openssl 修正の予定なし
Red Hat Enterprise Linux 5 - openssl097a 修正の予定なし
CVE-2016-2106 中程度 1331536 Red Hat Enterprise Linux 7 RHSA-2016-0722 openssl-1.0.1e-51.el7_2.5 リリース済
Red Hat Enterprise Linux 7 - openssl098e 影響される
Red Hat Enterprise Linux 6 RHSA-2016-0996 openssl-1.0.1e-48.el6_8.1 リリース済
Red Hat Enterprise Linux 6 - openssl098e 影響される
Red Hat Enterprise Linux 5 - openssl 修正の予定なし
Red Hat Enterprise Linux 5 - openssl097a 修正の予定なし
CVE-2016-2107 中程度 1331426 Red Hat Enterprise Linux 7 RHSA-2016-0722 openssl-1.0.1e-51.el7_2.5 リリース済
Red Hat Enterprise Linux 7 - openssl098e 影響されない
Red Hat Enterprise Linux 6 RHSA-2016-0996 openssl-1.0.1e-48.el6_8.1 リリース済
Red Hat Enterprise Linux 6 - openssl098e 影響されない
Red Hat Enterprise Linux 5 - openssl 影響されない
Red Hat Enterprise Linux 5 - openssl097a 影響されない
CVE-2016-2108 重要 1331402 Red Hat Enterprise Linux 7 RHSA-2016-0722 openssl-1.0.1e-51.el7_2.5 リリース済
Red Hat Enterprise Linux 7 - openssl098e 修正の予定なし
Red Hat Enterprise Linux 6 RHSA-2016-0996 openssl-1.0.1e-48.el6_8.1 リリース済
Red Hat Enterprise Linux 6 - openssl098e 修正の予定なし
Red Hat Enterprise Linux 5 - openssl 修正の予定なし
Red Hat Enterprise Linux 5 - openssl097a 修正の予定なし
CVE-2016-2109 低度 1330101 Red Hat Enterprise Linux 7 RHSA-2016-0722 openssl-1.0.1e-51.el7_2.5 リリース済
Red Hat Enterprise Linux 7 - openssl098e 修正の予定なし
Red Hat Enterprise Linux 6 RHSA-2016-0996 openssl-1.0.1e-48.el6_8.1 リリース済
Red Hat Enterprise Linux 6 - openssl098e 修正の予定なし
Red Hat Enterprise Linux 5 - openssl 修正の予定なし
Red Hat Enterprise Linux 5 - openssl097a 修正の予定なし
CVE-2016-2176 低度 1331563 Red Hat Enterprise Linux 7 - openssl 影響されない
Red Hat Enterprise Linux 7 - openssl098e 影響されない
Red Hat Enterprise Linux 6 - openssl 影響されない
Red Hat Enterprise Linux 6 - openssl098e 影響されない
Red Hat Enterprise Linux 5 - openssl 影響されない
Red Hat Enterprise Linux 5 - openssl097a 影響されない

注意: Red Hat Enterprise Linux 5 に同梱されている openssl097a のバージョンも一部の CVE の影響を受けます。Red Hat Enterprise Linux 5 は、サポートとメンテナンスのライフサイクルが現在フェーズ 3 なので、「重大な影響」レベルのセキュリティーアドバイザリーは提供されますが、この問題は将来のアップデートで対応することは現在予定されておりません。

Root Cause

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.