-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

 --------------------------------------------------------------------------
   Turbolinux Security Advisory TLSA-2016-8
   http://www.turbolinux.co.jp/security/
                                             security-team@turbolinux.co.jp
 --------------------------------------------------------------------------

 アナウンス日 : 2016/03/16
 最終更新日   : 2016/03/16

 パッケージ名 : openssl
 
 タイトル : OpenSSL に複数の脆弱性
 
 概要 : OpenSSL は、Secure Sockets Layer(SSL v2/v3)と、世界標準の暗号プロトコルである
      Transport Layer Security(TLS v1)を実装した、強固で商用に耐えうる、高機能な
      Open Source のツールキットです。
 
      OpenSSL に複数の脆弱性が存在します。

 影響 : crypto/bn/bn.h、bn_print.c 関数に、整数オーバーフローの脆弱性が存在します。
      第三者がこの脆弱性を利用して、BN_dec2bn や BN_hex2bn 関数が誤って処理されるような
      不正な数字列を使用されると DoS(ヒープメモリ破損 又は NULL ポインタデリファレンス)
      状態にされる可能性があります(CVE-2016-0797)。
 
      BIO_*printf 関数の不備で、長い文字列が処理されると整数オーバーフローの脆弱性が
      存在します。
      第三者がこの脆弱性を利用して、不正なデータを処理されると DoS 状態(out-of-bounds
      write 又はオーバーフロー)場外にされる可能性があります(CVE-2016-0799)。
 
      SSLv2 では、複数回数のハンドシェイク情報を収集できる場合に、暗号通信を解読される
      脆弱性が存在します。
      SSLv2 が利用できる場合、第三者がこの脆弱性を利用して SSLv2 を使用した TLS への
      クロスプロトコル(Decrypting RSA using Obsolete and Weakened eNcryption:DROWN)
      攻撃により TLS セッションを使用しててもセッションが復号化されて情報が取得される
      可能性があります(CVE-2016-0800:DROWN)。

 影響製品 :

    - Turbolinux Appliance Server 3.0 x64 Edition (延長メンテナンス)
    - Turbolinux Appliance Server 3.0 (延長メンテナンス)
    - Turbolinux 11 Server x64 Edition (延長メンテナンス)
    - Turbolinux 11 Server (延長メンテナンス)
    - Turbolinux Appliance Server 2.0 (延長メンテナンス)

 対策方法 : 下記パッケージにアップデートを行って下さい。
          [Turbolinux 11 Server, Turbolinux 11 Server x64 Edition の場合]
          アップデートは、ディスクトップメニュー「パネルの左端のメニュー」をクリックし
          Turbo プラス を起動し行って下さい。

          [Turbolinux Appliance Server の場合]
          アップデートは、 TLAS Server Desktop 上から行って下さい。

 コンソールから実行する場合
 ----------------------------------------
 [Turbolinux 11 Serverr の場合]
 # turbo+ --cui
 もしくは、
 # turbo+ -u openssl openssl-devel
 ----------------------------------------


 <Turbolinux Appliance Server 3.0 x64 Edition>

   Source Packages
   Size: MD5

   openssl-0.9.8e-22.src.rpm
      3536147 ea8005a5ae442b815d7ddb63ab7e19d4

   Binary Packages
   Size: MD5

   openssl-0.9.8e-22.x86_64.rpm
      1783552 9b38b1ef988dbb8cc94b0da3866e6b48
   openssl-devel-0.9.8e-22.x86_64.rpm
      1982897 aae9637b1b06428c5f4bbe855dc889a3

 <Turbolinux Appliance Server 3.0>

   Source Packages
   Size: MD5

   openssl-0.9.8e-22.src.rpm
      3536147 ea8005a5ae442b815d7ddb63ab7e19d4

   Binary Packages
   Size: MD5

   openssl-0.9.8e-22.i686.rpm
      1713642 d06dd053b61f8c6177863f935e68db2c
   openssl-devel-0.9.8e-22.i686.rpm
      1922549 e1f8269d0eb88fc738987560d2de0baa

 <Turbolinux 11 Server x64 Edition>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/x64/Server/11/updates/SRPMS/openssl-0.9.8e-22.src.rpm
      3521975 cd0992d006fc9b083faa8b009d907922

   Binary Packages
   Size: MD5

   openssl-0.9.8e-22.x86_64.rpm
      1783552 9b38b1ef988dbb8cc94b0da3866e6b48
   openssl-devel-0.9.8e-22.x86_64.rpm
      1982897 aae9637b1b06428c5f4bbe855dc889a3

 <Turbolinux 11 Server>

   Source Packages
   Size: MD5

   ftp://ftp.turbolinux.co.jp/pub/TurboLinux/TurboLinux/ia32/Server/11/updates/SRPMS/openssl-0.9.8e-22.src.rpm
      3536147 ea8005a5ae442b815d7ddb63ab7e19d4

   Binary Packages
   Size: MD5

   openssl-0.9.8e-22.i686.rpm
      1713642 d06dd053b61f8c6177863f935e68db2c
   openssl-devel-0.9.8e-22.i686.rpm
      1922549 e1f8269d0eb88fc738987560d2de0baa

 <Turbolinux Appliance Server 2.0>

   Source Packages
   Size: MD5

   openssl-0.9.7d-28.src.rpm
      2988475 7a0eebc873d08e1495acc5ba9e60baed

   Binary Packages
   Size: MD5

   openssl-0.9.7d-28.i586.rpm
      1312701 d8549372dfdbd4a0bc7b1e3704ab151b
   openssl-devel-0.9.7d-28.i586.rpm
      1497556 058e03483539a823592d5c73c7d5c79a


 関連文章 :

 CVE
   [CVE-2016-0797]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0797
   [CVE-2016-0799]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0799
   [CVE-2016-0800]
   http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0800

 --------------------------------------------------------------------------
 更新履歴
   初版   2016/03/16
 --------------------------------------------------------------------------

 Copyright(C) 2016 Turbolinux, Inc. All rights reserved.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

iEYEARECAAYFAlbo5NsACgkQK0LzjOqIJMwFMACglXNKB/h9iqVOkIxV4r+DI/LA
6vAAn24+c7+9xrWVIS2Dn503DUjuySZA
=Bi0h
-----END PGP SIGNATURE-----