-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-17
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/07/28
 最終更新日   : 2016/07/28

 パッケージ名 : openssl

 タイトル : OpenSSL の dsa_sign_setup 関数で DSA 秘密鍵を取得される脆弱性 
 
 概要 : OpenSSL は、Secure Sockets Layer(SSL v2/v3)と、世界標準の暗号プロトコルである
      Transport Layer Security(TLS v1)を実装した、強固で商用に耐えうる、高機能な
      Open Source のツールキットです。
 
      crypto/dsa/dsa_ossl.c の dsa_sign_setup 関数では一定時間オペレーションの使用を
      適切に確認しないために、DSA 秘密鍵が取得される脆弱性が存在します。 
 
 影響 : 第三者が cache-timing 攻撃を使用して、DSA 秘密鍵が取得される可能性があります。
 
 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-24.src.rpm
      3539009 982890bd539f8df39cbead8e77aa3ebe

   Binary Packages
   Size: MD5

   openssl-0.9.8e-24.x86_64.rpm
      1783095 f3c52def5b9de78373ee8ae68406b643
   openssl-devel-0.9.8e-24.x86_64.rpm
      1984319 452d4c1691b51878a11d176659a2de20

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-24.src.rpm
      3539009 982890bd539f8df39cbead8e77aa3ebe

   Binary Packages
   Size: MD5

   openssl-0.9.8e-24.i686.rpm
      1712397 52d65703458867555a4c37cac5fecb85
   openssl-devel-0.9.8e-24.i686.rpm
      1921859 47fa5accc13bd6378d65306f9b741de7

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-24.src.rpm
      3525160 96dd4ba1adabdbb2a866133fefc58a93

   Binary Packages
   Size: MD5

   openssl-0.9.8e-24.x86_64.rpm
      1783095 f3c52def5b9de78373ee8ae68406b643
   openssl-devel-0.9.8e-24.x86_64.rpm
      1984319 452d4c1691b51878a11d176659a2de20

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-24.src.rpm
      3539009 982890bd539f8df39cbead8e77aa3ebe

   Binary Packages
   Size: MD5

   openssl-0.9.8e-24.i686.rpm
      1712397 52d65703458867555a4c37cac5fecb85
   openssl-devel-0.9.8e-24.i686.rpm
      1921859 47fa5accc13bd6378d65306f9b741de7


 関連文章 :

 CVE
   [CVE-2016-2178]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2178

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/07/28
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAleZpIQACgkQK0LzjOqIJMydSgCfbLD7KAkyObFussSUZ51Qn5I2
2E8AoLuUx1esdTIGWV9870T3PSDx2i2g
=KpQA
-----END PGP SIGNATURE-----