-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2015-14
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2015/07/01
 最終更新日   : 2015/07/01

 パッケージ名 : openssl

 タイトル : openssl に複数の脆弱性

 概要 : OpenSSL は、Secure Sockets Layer(SSL v2/v3)と、世界標準の暗号プロトコルである
     Transport Layer Security(TLS v1)を実装した、強固で商用に耐えうる、高機能な
     Open Source のツールキットです。

     OpenSSL に複数の脆弱性が存在します。

 影響 : 
    X509_cmp_time 関数の欠陥で、DoS 状態(out-of-bounds read 及びアプリケーションクラッシュ)
    にされる脆弱性が存在し、第三者が細工した ASN1_TIME データ の length フィールドを使用して、
    DoS 状態にされる可能性があります(CVE-2015-1789)。

    PKCS7_dataDecode 関数の欠陥で、DoS 状態(NULL ポインタデリファレンス、及びアプリケーション
    クラッシュ)にされる脆弱性が存在し、第三者に ASN.1 のエンコーディングを使用される、及び
    EncryptedContent データを欠いた PKCS#7 ブロブ(blob)使用して、Dos 状態にされる可能性が
    あります(CVE-2015-1790)。

    ssl3_get_new_session_ticket 関数の欠陥で、競合状態によって Dos 状態(二重解放、及びアプリ
    ケーションクラッシュ)にされる等の不特定の影響を受ける脆弱性が存在し、第三者が以前に取得した
    チケットの再利用を試行して NewSessionTicket を提供される事で、DoS 状態にされる、不特定の
    影響を受ける可能性があります(CVE-2015-1791)。

    do_free_upto 関数の欠陥で、DoS 状態(無限ループ)にされる脆弱性が存在し、第三者が BIO 構造の
    NULL 値を誘発されると、DoS状態にされる可能性があります(CVE-2015-1792)。

 影響製品 :

    - Turbolinux Client 12.5
    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition
    - Turbolinux 11 Server
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)
    - Turbolinux 10 Server x64 Edition (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux Client 12.5 の場合]
          アップデートは、KDE デスクトップのパネルの通知アイコンをクリックし
          メニューから [アップデートの参照] を選択し行って下さい。

          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux 10 Server x64 Edition の場合]
          アップデートは、Kメニュー「左端の メニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr, Turbolinux 10 Server x64 Edition の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Client 12.5>

   Source Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-source/openssl-0.9.8h-15.src.rpm
      3620806 3d8afefb5c1c9299c6958c8c56b378f3

   Binary Packages
   Size: MD5

   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-0.9.8h-15.i586.rpm
      1630801 4b975af18573f5ede434efb13e5e4dc2
   http://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Client/12.5/turbolinux-updates/openssl-devel-0.9.8h-15.i586.rpm
      1444122 28ab4edf3399a8e3af9b376410075bcd

 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-19.src.rpm
      3528823 68766ddca4f0be87ada20d751653b256

   Binary Packages
   Size: MD5

   openssl-0.9.8e-19.x86_64.rpm
      1785251 36b4622666e641593303a87c9d462fb0
   openssl-devel-0.9.8e-19.x86_64.rpm
      1982283 eb795b7ab735b3ac74dc99700dad27a1

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-19.src.rpm
      3528823 68766ddca4f0be87ada20d751653b256

   Binary Packages
   Size: MD5

   openssl-0.9.8e-19.i686.rpm
      1713677 5298adfaa50019818766f557f4c6315e
   openssl-devel-0.9.8e-19.i686.rpm
      1921413 4bf90dc860e0ab7ea9180f76ca3d471c

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-19.src.rpm
      3514825 8009cb30e4272789eb586d2dcbb543ba

   Binary Packages
   Size: MD5

   openssl-0.9.8e-19.x86_64.rpm
      1785251 36b4622666e641593303a87c9d462fb0
   openssl-devel-0.9.8e-19.x86_64.rpm
      1982283 eb795b7ab735b3ac74dc99700dad27a1

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-19.src.rpm
      3528823 68766ddca4f0be87ada20d751653b256

   Binary Packages
   Size: MD5

   openssl-0.9.8e-19.i686.rpm
      1713677 5298adfaa50019818766f557f4c6315e
   openssl-devel-0.9.8e-19.i686.rpm
      1921413 4bf90dc860e0ab7ea9180f76ca3d471c

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   openssl-0.9.7d-25.src.rpm
      2981765 af394020c16abe3484a1cce94717394a

   Binary Packages
   Size: MD5

   openssl-0.9.7d-25.i586.rpm
      1312063 c743736bb2a41a01a0505eab92915084
   openssl-devel-0.9.7d-25.i586.rpm
      1497543 b4a2aa1896c9dda6d2998d83bdc6a9d4

 <Turbolinux 10 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/10/updates/SRPMS/openssl-0.9.7d-25.src.rpm
      2981765 af394020c16abe3484a1cce94717394a

   Binary Packages
   Size: MD5

   openssl-0.9.7d-25.x86_64.rpm
      1420705 eea1073a210476ed93b2650e5a22128c
   openssl-devel-0.9.7d-25.x86_64.rpm
      1557394 c2362664fce4560c5b0dbb774401d7b1


 関連文章 :

 CVE
   [CVE-2015-1789]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1789
   [CVE-2015-1790]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1790
   [CVE-2015-1791]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1791
   [CVE-2015-1792]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1792

 --------------------------------------------------------------------------
 更新履歴
   初版   2015/07/01
 --------------------------------------------------------------------------

 Copyright(C) 2015 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlWTz50ACgkQK0LzjOqIJMzCOgCgpgvFrOEK5La2hZLmYHhFKKEu
e44AoI6BaPKPra7BoNzgGKGvf0Y3W/ZH
=Cl/f
-----END PGP SIGNATURE-----