OpenSSLの脆弱性(CVE-2016-8610 : SSL Death Alert)
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
10月24日に新たに「SSL Death Alert」というOpenSSLの脆弱性についての情報が公開されました。前回(9月22日)の対応で修正されている問題ですが、念の為、各ディストリビューションの対応について簡単にまとめてみます。
修正方法
OpenSSLのバージョンを1.0.2j/1.1.0bにあげてください。また各ディストリビューションの情報を確認してください。
影響するバージョン
CVE概要(詳細は一次情報源のサイトをご確認ください)
- CVE-2016-8610
リモートからの”SSL3_AL_WARNING”パケットによるDoSの可能性(SSL Death Alert)
ssl/s3_pkt.c中の”ssl3_read_bytes”関数の実装に問題が有り、リモートからハンドシェイク中に”SSL3_AL_WARNING”パケットを多数送ることによりDoSを引き起こすことが可能です。
主なディストリビューションの対応方法
OpenSSL及び関係するパッケージのバージョンを更新する必要があります。
詳細は、各ディストリビューションの提供元にご確認ください
debian
Red Hat Enterprise Linux/CentOS
SUSE/OpenSUSE
ubuntu
対処方法
各ディストリビューションの案内に従い、アップデートを行ってください。
また、OpenSSLのライブラリを使用しているサービスの再起動が発生しますので、pacemakerなど OSSのクラスタ製品やLifeKeeperな どの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます 。
[セミナー告知]
11/30(水)に「OSSセキュリティナイター vol.3」と題して、セキュリティのセミナーを行います。
この回では、世界で最も利用されているオープンソースデータベースであるMySQLを取り上げ、『MySQLデータベースのセキュリティを考える 〜 重要データを守るために必要なこと〜』と題してセミナーを開催します。
今回も、前回に引き続き、ゲスト講師としてMySQLスペシャリストをお招きし講演をいただきます。
http://connpass.com/event/44819/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。