-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-6
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/02/08
 最終更新日   : 2016/02/08

 パッケージ名 : openssl
 
 タイトル : openssl に複数の脆弱性
 
 概要 : OpenSSL は、Secure Sockets Layer(SSL v2/v3)と、世界標準の暗号プロトコルである
      Transport Layer Security(TLS v1)を実装した、強固で商用に耐えうる、高機能な
      Open Source のツールキットです。
 
      OpenSSL に複数の脆弱性が存在します。
 
 影響 : SSLv2 の全ての暗号化方式を無効に設定している場合でも、SSL_OP_NO_SSLv2 によって
      SSLv2 の使用を無効していないと SSLv2 の暗号化方式で通信できる脆弱性が存在します。
      第三者が、この脆弱性を利用して SSLv2 暗号化方式で通信する可能性があり、SSLv2 の
      既知の脆弱性の影響も受ける可能性があります(CVE-2015-3197)。
 
      RFC5114 指定のパラメータを X9.42 形式で生成する DH(Diffie-Hellman)機能の欠陥で、
      「安全ではない」パラメータ(素数)が生成される可能性があります。
      第三者が、この脆弱性を利用して暗号化に使用する鍵を取得するために small subgroup
      攻撃を受ける可能性があり、鍵が取得されてしまうと重要な情報が取得される可能性も
      あります(CVE-2016-0701)。
      ※RFC5114 は OpenSSL 1.02 からサポートされていますが、該当するソースソコードが
        openssl-0.9.8e、openssl-0.9.7d に含まれているため、CVE-2016-0701 セキュリティ
        パッチを適用したセキュリティアップデートをリリースします。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-21.src.rpm
      3530771 bfcf408d867e87e368d1c6c5f72085bb

   Binary Packages
   Size: MD5

   openssl-0.9.8e-21.x86_64.rpm
      1783248 c2e6450a093d5ea983d702762c217bc0
   openssl-devel-0.9.8e-21.x86_64.rpm
      1981131 27b537cee209fc3b47e6b029c184fec2

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-21.src.rpm
      3530771 bfcf408d867e87e368d1c6c5f72085bb

   Binary Packages
   Size: MD5

   openssl-0.9.8e-21.i686.rpm
      1712058 b2bdb823818dc913ed37f5373510daa5
   openssl-devel-0.9.8e-21.i686.rpm
      1921293 aeda4666b64c06ad3fd17e7b90e7a55c

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-21.src.rpm
      3517126 4bd794211e86591c3b2695aecbad5645

   Binary Packages
   Size: MD5

   openssl-0.9.8e-21.x86_64.rpm
      1783248 c2e6450a093d5ea983d702762c217bc0
   openssl-devel-0.9.8e-21.x86_64.rpm
      1981131 27b537cee209fc3b47e6b029c184fec2

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-21.src.rpm
      3530771 bfcf408d867e87e368d1c6c5f72085bb

   Binary Packages
   Size: MD5

   openssl-0.9.8e-21.i686.rpm
      1712058 b2bdb823818dc913ed37f5373510daa5
   openssl-devel-0.9.8e-21.i686.rpm
      1921293 aeda4666b64c06ad3fd17e7b90e7a55c

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   openssl-0.9.7d-27.src.rpm
      2984201 b0d9f50ed9ae14e670145cc3583df6eb

   Binary Packages
   Size: MD5

   openssl-0.9.7d-27.i586.rpm
      1312097 2f42720cb7fe73682fda5468438ff964
   openssl-devel-0.9.7d-27.i586.rpm
      1497359 fb623d242f441e831eba4055d1b99f33


 関連文章 :

 CVE
   [CVE-2015-3197]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3197
   [CVE-2016-0701]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0701

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/02/08
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAla39s0ACgkQK0LzjOqIJMy2xgCgvpBY1I6vE+jq110Ty0YBDS95
fV4AoJcTTP2Qiydm+BtJeHSAhlxk02XI
=HHL8
-----END PGP SIGNATURE-----