Scientific Linux 安全更新：SL6.x i386/x86_64 中的 openssl

medium Nessus 插件 ID 61043

语言：

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

OpenSSL 是用于实现安全套接字层 (SSL v2/v3) 和传输层安全 (TLS v1) 协议以及强大的通用密码库的工具包。

在 OpenSSL 解析 ClientHello TLS 握手消息中证书状态请求 TLS 扩展的方式中发现缓冲区读取越界缺陷。远程攻击者可能利用此缺陷通过受影响的 OpenSSL 功能来导致 SSL 服务器崩溃。(CVE-2011-0014)

此更新修复了以下缺陷：

- openssl 在 FIPS（联邦信息处理标准）模式下运行时，即使请求了对 FIPS 审批的算法的测试，“openssl speed”命令（提供算法速度测量）也会失败。FIPS 模式禁用未经 NIST（National Institute of Standards and Technology，美国国家标准技术研究所）标准审批的密码和加密哈希算法。通过此更新，“openssl speed”命令不再失败。(BZ#619762)

- “openssl pkcs12 -export”命令无法在 FIPS 模式下导出 PKCS#12 文件。用于对 PKCS#12 文件中的证书进行加密的默认算法未经 FIPS 审批，因此无法工作。该命令现在默认在 FIPS 模式下使用经 FIPS 审批的算法。
(BZ#673453)

此更新还添加了以下增强：

- “openssl s_server”命令之前仅接受 IPv4 上的连接，现在接受 IPv6 上的连接。(BZ#601612)

- 出于允许运行某些维护命令的目的，添加了一个“OPENSSL_FIPS_NON_APPROVED_MD5_ALLOW”环境变量。为 FIPS 模式配置系统并处于维护状态时，即使 MD5 加密哈希算法未经 FIPS-140-2 标准审批，也可将新添加的这个环境变量设置为允许运行需要使用该哈希算法的软件。(BZ#673071)

建议 OpenSSL 用户升级这些更新后的程序包，其中包含用于解决这些问题的向后移植的修补程序并添加这些增强。为使更新生效，必须重新启动所有链接到 OpenSSL 库的服务，或重新启动系统。