2015-03-19 OpenSSL 深刻度の高い脆弱性を修正

提供: セキュリティ
移動: 案内検索
スポンサーリンク

2015-03-19に深刻な脆弱性を修正した OpenSSL がリリースされました。

読み方

OpenSSL
おーぷんえすえすえる

概要

OpenSSLは、多くのUnixで利用されている暗号ライブラリです。インターネットのHTTPSなどの通信でよく利用されています。

今回公開された脆弱性は、脆弱性が発生する条件がクライアント側、DTLSクライアントのみ、などさまざまです。 メモリ破壊、クラッシュなどによって、DoS状態に陥る問題が多数修正されています。 内部的には、

  • メモリ破壊
  • セグメンテーションフォルト

などが発生して、DoSを引き起こします。

脆弱性

OpenSSL セキュリティアドバイザリ 2015/03/19
CVE リスク 影響するバージョン 分類 内容
CVE-2015-0291 High 1.0.2 DoS ClientHello sigalgs DoS
CVE-2015-0204 High 1.0.1, 1.0.0, 0.9.8 Reclassified: RSA silently downgrades to EXPORT_RSA(クライアント). 中間者攻撃が可能な場合のみ。
CVE-2015-0290 Moderate 1.0.2 DoS Multiblock corrupted pointer
CVE-2015-0207 Moderate 1.0.2 Segmentation fault in DTLSv1_listen. DTLS1.0 client のみ。
CVE-2015-0286 Moderate 1.0.2, 1.0.1, 1.0.0, 0.9.8 DoS Segmentation fault in ASN1_TYPE_cmp
CVE-2015-0208 Moderate 1.0.2 DoS Segmentation fault for invalid PSS parameters
CVE-2015-0287 Moderate 1.0.2, 1.0.1, 1.0.0, 0.9.8. メモリ破壊 AASN.1 structure reuse memory corruption
CVE-2015-0289 Moderate 1.0.2,1.0.1,1.0.0,0.9.8 PKCS7 NULL pointer dereferences
CVE-2015-0292 Moderate 1.0.1, 1.0.0, 0.9.8 Base64 decode
CVE-2015-0293 Moderate 1.0.2, 1.0.1, 1.0.0, 0.9.8 DoS DoS via reachable assert in SSLv2 servers
CVE-2015-1787 Moderate 1.0.2 DoS Empty CKE with client auth, DHE
CVE-2015-0285 Low 1.0.2 Handshake with unseeded PRNG
CVE-2015-0209 Low 1.0.2, 1.0.1, 1.0.0, 0.9.8 DoS Use After Free following d2i_ECPrivatekey error
CVE-2015-0288 Low 1.0.2, 1.0.1, 1.0.0, 0.9.8 クラッシュ X509_to_X509_REQ NULL pointer deref

修正版のバージョン

  • 1.0.2a
  • 1.0.1m
  • 1.0.0r
  • 0.9.8zf

影響範囲

  • OpenSSL 1.0.2 の利用者は、 1.0.2a へアップグレードが必要です。
  • OpenSSL 1.0.1 の利用者は、 1.0.1m へアップグレードが必要です。
  • OpenSSL 1.0.0 の利用者は、 1.0.0r へアップグレードが必要です。
  • OpenSSL 0.9.8 の利用者は、 0.9.8zf へアップグレードが必要です。

ソースコード

ソースコードは、 ftp://ftp.openssl.org/source/ で公開されています。

アップグレードの方法

FreeBSD

ベースシステムのOpenSSLをアップグレードする場合には、freebsd-updateを使用します。

% sudo freebsd-update fetch
% sudo freebsd-update install

pkgなどでインストールしたOpenSSLをアップグレードするには、pkgコマンドを使用します。

$ sudo pkg update
$ sudo pkg install openssl

Ubuntu

$ sudo apt update
$ sudo apt upgrade

CentOS

$ sudo yum update
$ sudo yum upgrade

関連項目




スポンサーリンク