-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-14
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/05/16
 最終更新日   : 2016/05/16

 パッケージ名 : openssl
 
 タイトル : OpenSSL に複数の脆弱性
 
 概要 : OpenSSL は、Secure Sockets Layer(SSL v2/v3)と、世界標準の暗号プロトコルである
      Transport Layer Security(TLS v1)を実装した、強固で商用に耐えうる、高機能な
      Open Source のツールキットです。

      OpenSSL に複数の脆弱性が存在します。
   
 影響 : EVP_EncodeUpdate 関数処理に不備があり、Base64 にエンコードされたバイナリデータを
      処理するとオーバーフローが発生する脆弱性が存在し、バッファオーバーフローが発生する
      可能性があります(CVE-2016-2105)。
 
      EVP_EncryptUpdate 関数処理に不備があり、Base64 にエンコードされたバイナリデータを
      処理するとオーバーフローが発生する脆弱性が存在し、バッファオーバフローが発生する
      可能性があります(CVE-2016-2106)。
      
      負数の ASN.1 データを生成できませんでしたが、d2i_ASN1_TYPE 等の ASN.1パーサの不備で
      負数を生成してバッファアンダーフローが発生する脆弱性が存在し、メモリ破損が発生する
      可能性があります(CVE-2016-2108)。

      2i_CMS_bio 機能等を用いた ASN.1データが BIO から読み出されることによって、BIO から
      読み出される際の短い無効な符号化は、DoS 状態(大量メモリの割当)を引き起こす脆弱性が
      存在します(CVE-2016-2109)。

      X509_NAME_oneline 関数の不備で EBCDIC システムで X509_NAME_oneline 関数を使用した際
      任意のスタックデータがバッファに渡る脆弱性が存在し、ASN.1 データの処理で DoS 状態を
      引き起こす可能性があります(CVE-2016-2176)。

      ※弊社製品の OpenSSL では、CVE-2016-2109 の影響はありません。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-23.src.rpm
      3538686 58d1421939834ff680b76161156bc2b0

   Binary Packages
   Size: MD5

   openssl-0.9.8e-23.x86_64.rpm
      1782794 85bb4d518fe3886cb75846d3eae8e98a
   openssl-devel-0.9.8e-23.x86_64.rpm
      1983267 5e66c3267b6b172f52e775e60e2aa07c

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-23.src.rpm
      3538686 58d1421939834ff680b76161156bc2b0

   Binary Packages
   Size: MD5

   openssl-0.9.8e-23.i686.rpm
      1713304 89c74d0825dcc84c85a1383edb4e9851
   openssl-devel-0.9.8e-23.i686.rpm
      1922958 5e528db3066cdf6f365c4d9c07b6f154

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-23.src.rpm
      3524508 52dd661b4ccd5975cfefc74251098cb0

   Binary Packages
   Size: MD5

   openssl-0.9.8e-23.x86_64.rpm
      1782794 85bb4d518fe3886cb75846d3eae8e98a
   openssl-devel-0.9.8e-23.x86_64.rpm
      1983267 5e66c3267b6b172f52e775e60e2aa07c

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-23.src.rpm
      3538686 58d1421939834ff680b76161156bc2b0

   Binary Packages
   Size: MD5

   openssl-0.9.8e-23.i686.rpm
      1713304 89c74d0825dcc84c85a1383edb4e9851
   openssl-devel-0.9.8e-23.i686.rpm
      1922958 5e528db3066cdf6f365c4d9c07b6f154


 関連文章 :

 CVE
   [CVE-2016-2105]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2105
   [CVE-2016-2106]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2106
   [CVE-2016-2108]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2108
   [CVE-2016-2109]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2109
   [CVE-2016-2176]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2176

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/05/16
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlc5mFYACgkQK0LzjOqIJMzHKACfS4uOemVQy+6S4lpyRBTUXrGR
nCwAoLFM4WLoJDF792zwAZGahRBRJJy+
=s/50
-----END PGP SIGNATURE-----