-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2013-3
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2013/05/09
 最終更新日   : 2013/05/09

 パッケージ名 : openssl

 タイトル : 暗号スイートのダウングレードに関する脆弱性

 概要 : OpenSSL は、Secure Sockets Layer (SSL v2/v3) と、世界標準の暗号プロトコル
      であるTransport Layer Security (TLS v1) を実装した、強固で商用に耐えうる、
      高機能な Open Source のツールキットです。

      OpenSSL は、SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG が有効な際、
      セッションキャッシュ内にある暗号スイートへの変更を適切に制限しないため、
      意図しない暗号スイートのダウングレードを強制的に実行される脆弱性が存在します。

 影響 : 意図しない暗号スイートへのダウングレードを強制的に実行される可能性があります。

 影響製品 :

    - Turbolinux Client 12.5
    - Turbolinux Appliance Server 3.0 x64 Edition
    - Turbolinux Appliance Server 3.0
    - Turbolinux 11 Server x64 Edition
    - Turbolinux 11 Server


 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux Client 12.5 の場合]
          アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし
          メニューから [アップデートの参照] を選択し行って下さい。

          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 ATOM Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Server の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u httpd httpd-devel httpd-manual mod_ssl
 ----------------------------------------


 <Turbolinux Client 12.5>

   Source Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/openssl-0.9.8h-7.src.rpm
      3553772 32a33b862131402437dd8c32d831721e

   Binary Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-0.9.8h-7.i586.rpm
      1626599 5d53a24052ed47661da38f6d01acfb18
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-devel-0.9.8h-7.i586.rpm
      1440864 d93fd03b26f31b806bfe74c53884aea5

 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-12.src.rpm
      3482403 c753c396041a0393b33e14f689661a7b

   Binary Packages
   Size: MD5

   openssl-0.9.8e-12.x86_64.rpm
      1778897 d937a968e7b2a6d146200da95383ccb4
   openssl-devel-0.9.8e-12.x86_64.rpm
      1974109 4255b29f173ca30b4b623fc5bf49f021

 <Turbolinux Appliance Server 3.0 DQ Edition>

   Binary Packages
   Size: MD5

   openssl1-1.0.0-3.i686.rpm
      1570648 0fab3ad4f94c16de7ef58e4daa1aab01
   openssl1-devel-1.0.0-3.i686.rpm  
      2229639 db50e4ed97bb83dbfa3a14e9a6b1c82b

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-12.src.rpm
      3482403 c753c396041a0393b33e14f689661a7b

   Binary Packages
   Size: MD5

   openssl-0.9.8e-12.i686.rpm
      1706987 1b3d69074379aaa10ae6fa2def1060bc
   openssl-devel-0.9.8e-12.i686.rpm
      1915644 a0867b2914a42190ad6e5101fdf9dcd0

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-12.src.rpm
      3482403 c753c396041a0393b33e14f689661a7b

   Binary Packages
   Size: MD5

   openssl-0.9.8e-12.x86_64.rpm
      1778897 d937a968e7b2a6d146200da95383ccb4
   openssl-devel-0.9.8e-12.x86_64.rpm
      1974109 4255b29f173ca30b4b623fc5bf49f021

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-12.src.rpm
      3482403 c753c396041a0393b33e14f689661a7b

   Binary Packages
   Size: MD5

   openssl-0.9.8e-12.i686.rpm
      1706987 1b3d69074379aaa10ae6fa2def1060bc
   openssl-devel-0.9.8e-12.i686.rpm
      1915644 a0867b2914a42190ad6e5101fdf9dcd0


 関連文章 :

 CVE
   [CVE-2010-4180]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-4180

 JVN
   [JVNDB-2010-002548]
   http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-002548.html

 --------------------------------------------------------------------------
 更新履歴
   初版   2013/05/09
 --------------------------------------------------------------------------

 Copyright(C) 2013 Turbolinux, Inc. All rights reserved. 

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.19 (GNU/Linux)

iEYEARECAAYFAlGLsZ8ACgkQK0LzjOqIJMzTDwCgu6XIOJU6F9zNAvA37wDyfYB0
kWQAnjOqArGzKN5CCVXBu9ikDuxTuvW+
=XQs+
-----END PGP SIGNATURE-----