2018-12

11/30/2018にThe 9 Lives of Bleichenbacher's CAT: New Cache ATtacks on TLS Implementationsというサイトと論文が公開されました。これによると、PKCS #1 v1.5 標準に従ったRSAに対する新たなパディングオラクル攻撃の手法が見つかったそうです。この新たな攻撃( Cache-like ATacks (CATs) )を9つのTLS実装に試したところ、7つのTLS実装で問題が発見され、ダウングレード攻撃を用いて30秒以内に利用可能な5台のTLSサーバからRSA平文の全ての2048ビットを復元することが出来たそうです(OpenSSLは今回の問題は既に過去に修正済みです)。やはりRSA鍵交換の危険性が示されており、Diffie-Hellman鍵交換が推奨されます。今後、様々な実装での修正が予想されますので、こちらで取り上げてまとめます。 2018/12/06: Arm Mbed TLSの修正情報を追加しました

12/04/2018にLinux Kernelの脆弱性情報(Moderate: CVE-2018-19824)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/03/2018にKubernetesの脆弱性情報(Critical: CVE-2018-1002105)が公開されています。Criticalな脆弱性ですので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

11/30/2018(UTC)に、BINDに関して、Operational Notification (DNSSEC鍵の削除による壊れたNSEC / NSEC3チェインと不要なRRSIGの生成)が出ています。今回は、こちらの概要について簡単にまとめてみます。

12/01/2018にKeycloakの脆弱性情報(Important: CVE-2018-14637)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/14/2018にGo言語の脆弱性情報(Important: CVE-2018-16873, Moderate: CVE-2018-16874, CVE-2018-16875)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/17/2018にLinux Kernelの脆弱性情報(CVE-2018-20169)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/18/2018にKVMの脆弱性情報(Important: CVE-2018-16882)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/19/2018にLinux Kernelの脆弱性情報(Important: CVE-2018-16884)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/19/2018にBIND 9(Red Hat Enterprise Linux/CentOSパッケージ版)の脆弱性情報(Moderate: CVE-2018-5742)が公開されています。本家のISCのソースの問題ではなく、発生するのもレアなケースでは有りますが、BINDですので、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。