OpenSSLの脆弱性 ( CVE-2018-0739, CVE-2018-0733 ) — | サイオスOSS | サイオステクノロジー

OpenSSLの脆弱性 ( CVE-2018-0739, CVE-2018-0733 ) — | サイオスOSS | サイオステクノロジー

OpenSSLの脆弱性 ( CVE-2018-0739, CVE-2018-0733 )

03/27/2018に、当初の予告通りOpenSSLに関しての脆弱性情報 ( CVE-2018-0739, CVE-2018-0733 )と、OpenSSL 1.0.2o / 1.1.0h が公開されました。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。


こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

03/27/2018に、当初の予告通りOpenSSLに関しての脆弱性情報 ( CVE-2018-0739, CVE-2018-0733 )と、OpenSSL 1.0.2o / 1.1.0h が公開されました。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。



影響するバージョン

CVE-2018-0739: OpenSSL: 1.0.2b-1.0.2n , 1.1.0-1.1.0g

CVE-2018-0733: OpenSSL: 1.1.0-1.1.0g (HP-UX PA-RISCのみ)

修正バージョン

OpenSSL: 1.0.2o , 1.1.0h

Priority

Medium/Moderate

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2018-0739

    • DoS攻撃の可能性

    • 重要度 – Medium/Moderate

    • 対象:OpenSSL 1.0.2b-1.0.2n , 1.1.0-1.1.0g

    • 再帰的定義により構成されたASN.1のタイプ(例えばPKCS7に見られるようなもの)が、過度の再帰を伴う悪質な入力を与えられた場合、最終的にスタックを超えてしまう可能性があります。これによりDoS攻撃が発生する可能性が有ります。このようなSSL/TLSを用いた構成は、信頼されていないソースからくることは無いので、安全であると考えられます。この問題は、OSS-fuzzにより報告されました。

  • CVE-2018-0733

    • PA-RISCでの実装上のバグ(その他のアーキテクチャは影響を受けない)

    • 重要度 – Medium/Moderate

    • 対象:OpenSSL 1.1.0-1.1.0g

    • 実装上のバグで、PA-RISC CRYPTO_memcmp関数は、各バイトの最下位ビットのみを比較するようになっています。これにより、攻撃者はこのセキュリティスキームに保証されるよりも少ない試行回数で、認証されたメッセージを偽造することが出来ます。このモジュールはHP-UXでのみコンパイルされるため、HP-UX PA-RISCのみが影響をウケます。


主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

なお、OpenSSL 1.0.1シリーズ以前のバージョンは本家ではサポート終了となっておりますので詳しい情報は各ディストリビューションの提供元にご確認下さい。


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を 参考にして下さい。

また、アプリケーションの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

https://www.openssl.org/news/vulnerabilities.html

セキュリティ系連載案内


セミナー情報

2018年05月17日 (木) 15:00から、MKTインターナショナル株式会社 / デジタルアーツ株式会社 / 日本オラクル株式会社 / サイオステクノロジー株式会社で連携してセミナーを開催します。

日本オラクル社からは、 MySQL Global Business Unit Sales Consulting Senior Managerの梶山 隆輔をお招きし、MySQLデータベースのセキュリティソリューションについてお話を頂きます。

https://sios.secure.force.com/webform/SeminarDetail?id=701100000012NsIAAUがプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

タイトルとURLをコピーしました