opensslのセキュリティ修正

OpenSSL 0.9.8o-4squeeze18およびOpenSSL 1.0.1e-2+deb7u13のパッケージをリリースしました。本パッケージには以下のセキュリティ修正が含まれます。

ZS-5200シリーズ

• SSL 3.0利用時に通信の一部が第三者に解読可能となる可能性がある脆弱性 ([CVE-2014-3566])
• セッションチケットのチェックに失敗した際にメモリの解放に失敗する問題 ([CVE-2014-3567])
• no-ssl3オプションを指定してコンパイルした場合でもSSL 3.0接続を受け付けてしまう問題 ([CVE-2014-3568])

ZP-1200シリーズ

• SRTPプロトコル利用時にメモリリークが発生する問題 (CVE-2014-3513)
• SSL 3.0利用時に通信の一部が第三者に解読可能となる可能性がある脆弱性 (CVE-2014-3566)
• セッションチケットのチェックに失敗場合にメモリリークが発生する問題 (CVE-2014-3567)
• no-ssl3オプションを指定してコンパイルした場合でもSSL 3.0接続を受け付けてしまう問題 (CVE-2014-3568)

ダウンロード

ZS-5200シリーズ

• openssl_0.9.8o-4squeeze18_armel.deb

ZP-1200シリーズ

• libssl1.0.0_1.0.1e-2+deb7u13_armel.deb

関連情報

• [CVE-2014-3513]
• [CVE-2014-3566] ("POODLE")
• SSL 3.0 の脆弱性対策について([CVE-2014-3566])
• [CVE-2014-3567]
• [CVE-2014-3568]