-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-28
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/10/24
 最終更新日   : 2016/10/24

 パッケージ名 : openssl
 
 タイトル : OpenSSL に複数の脆弱性
 
 概要 : OpenSSL は、Secure Sockets Layer(SSL v2/v3)と、世界標準の暗号プロトコルである
      Transport Layer Security(TLS v1)を実装した、強固で商用に耐えうる、高機能な Open
      Source のツールキットです。
 
      OpenSSL に複数の脆弱性が存在します。
 
 影響 : OpenSSL の BN_bn2dec 関数では、BN_div_word の返り値をチェックしていない問題が
      あります。
      その問題により、アプリケーション側が大きな BIGNUM を用いた際に、メモリ境界外への
      書き込みを引き起こす可能性があります(CVE-2016-2182)。
 
      MDC2 を用いた EVP_DigestUpdate 関数の問題で MDC2_Update にオーバーフローが発生
      する脆弱性があります。
      第三者が EVP_EncryptUpdate 関数を呼び出した後に、大きな入力データを与えた場合に
      長さのチェックでオーバーフローが発生する可能性があります(CVE-2016-6303)。
 
      OpenSSL 1.0.2 以前はいくつかメッセージ長チェック処理の問題により、アロケーション
      されたバッファーを超えて 2byte 以上のメモリ境界外を参照できる脆弱性があります。
      この問題により、DoS 攻撃を受ける可能性があります(CVE-2016-6306)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-25.src.rpm
      3541262 3d5d17ebf2a5c2e2cd81b195f7973645

   Binary Packages
   Size: MD5

   openssl-0.9.8e-25.x86_64.rpm
      1783254 8509476bcd4ce8e5f77cb6a0719661b8
   openssl-devel-0.9.8e-25.x86_64.rpm
      1983398 0ce7e8431425ed1b5c6f514aae18a0a1

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-25.src.rpm
      3541262 3d5d17ebf2a5c2e2cd81b195f7973645

   Binary Packages
   Size: MD5

   openssl-0.9.8e-25.i686.rpm
      1712360 837c07e8cc7ff2d556e31d8e4767d51d
   openssl-devel-0.9.8e-25.i686.rpm
      1922013 818902ece9287a96e6a6304aa479e356

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-25.src.rpm
      3527391 5e78c4b8be63ee3e6e7735f17baee955

   Binary Packages
   Size: MD5

   openssl-0.9.8e-25.x86_64.rpm
      1783254 8509476bcd4ce8e5f77cb6a0719661b8
   openssl-devel-0.9.8e-25.x86_64.rpm
      1983398 0ce7e8431425ed1b5c6f514aae18a0a1

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-25.src.rpm
      3541262 3d5d17ebf2a5c2e2cd81b195f7973645

   Binary Packages
   Size: MD5

   openssl-0.9.8e-25.i686.rpm
      1712360 837c07e8cc7ff2d556e31d8e4767d51d
   openssl-devel-0.9.8e-25.i686.rpm
      1922013 818902ece9287a96e6a6304aa479e356


 関連文章 :

 CVE
   [CVE-2016-2182]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-2182
   [CVE-2016-6303]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6303
   [CVE-2016-6306]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-6306

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/10/24
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlgNbrQACgkQK0LzjOqIJMzJcgCfaFZQolgH/XYDXAA+/rfmf3J3
FbEAn2DYBXdqh49IWWvpD15tavJwKooy
=nvYx
-----END PGP SIGNATURE-----