2018-12

OSS脆弱性ブログ

複数のTLS実装でのCAT(Cache-like ATacks)の脆弱性 (RSA鍵交換の危険性)

11/30/2018にThe 9 Lives of Bleichenbacher's CAT: New Cache ATtacks on TLS Implementationsというサイトと論文が公開されました。これによると、PKCS #1 v1.5 標準に従ったRSAに対する新たなパディングオラクル攻撃の手法が見つかったそうです。この新たな攻撃( Cache-like ATacks (CATs) )を9つのTLS実装に試したところ、7つのTLS実装で問題が発見され、ダウングレード攻撃を用いて30秒以内に利用可能な5台のTLSサーバからRSA平文の全ての2048ビットを復元することが出来たそうです(OpenSSLは今回の問題は既に過去に修正済みです)。やはりRSA鍵交換の危険性が示されており、Diffie-Hellman鍵交換が推奨されます。今後、様々な実装での修正が予想されますので、こちらで取り上げてまとめます。2018/12/06: Arm Mbed TLSの修正情報を追加しました
OSS脆弱性ブログ

Linux Kernelの脆弱性情報(Moderate: CVE-2018-19824)

12/04/2018にLinux Kernelの脆弱性情報(Moderate: CVE-2018-19824)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

Kubernetesの脆弱性情報(Critical: CVE-2018-1002105)

12/03/2018にKubernetesの脆弱性情報(Critical: CVE-2018-1002105)が公開されています。Criticalな脆弱性ですので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

BINDに関してのOperational Notification (DNSSEC鍵の削除による壊れたNSEC / NSEC3チェインと不要なRRSIGの生成)

11/30/2018(UTC)に、BINDに関して、Operational Notification (DNSSEC鍵の削除による壊れたNSEC / NSEC3チェインと不要なRRSIGの生成)が出ています。今回は、こちらの概要について簡単にまとめてみます。
OSS脆弱性ブログ

Keycloakの脆弱性情報(Important: CVE-2018-14637)

12/01/2018にKeycloakの脆弱性情報(Important: CVE-2018-14637)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

Go言語の脆弱性情報(Important: CVE-2018-16873, Moderate: CVE-2018-16874, CVE-2018-16875)

12/14/2018にGo言語の脆弱性情報(Important: CVE-2018-16873, Moderate: CVE-2018-16874, CVE-2018-16875)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

Linux Kernelの脆弱性情報(Moderate: CVE-2018-20169)

12/17/2018にLinux Kernelの脆弱性情報(CVE-2018-20169)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

KVMの脆弱性情報(Important: CVE-2018-16882)

12/18/2018にKVMの脆弱性情報(Important: CVE-2018-16882)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

Linux Kernelの脆弱性情報(Important: CVE-2018-16884)

12/19/2018にLinux Kernelの脆弱性情報(Important: CVE-2018-16884)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ

BIND 9(Red Hat Enterprise Linux/CentOSパッケージ版)の脆弱性情報(Moderate: CVE-2018-5742)

12/19/2018にBIND 9(Red Hat Enterprise Linux/CentOSパッケージ版)の脆弱性情報(Moderate: CVE-2018-5742)が公開されています。本家のISCのソースの問題ではなく、発生するのもレアなケースでは有りますが、BINDですので、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。