OSS脆弱性ブログ

11/25/2018にPHPの脆弱性情報(Important: CVE-2018-19518)が公開されています。すでにexploitも出回っており、この脆弱性を利用したインシデントも発生しているようですので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

11/26/2018にPowerDNSの複数の脆弱性情報(Low:CVE-2018-14663 , Medium:CVE-2018-16855)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

11/27/2018に予告通りSambaの脆弱性情報(CVE-2018-14629, CVE-2018-16841, CVE-2018-16851, CVE-2018-16852, CVE-2018-16853, CVE-2018-16857)と、新バージョン(Samba 4.9.3, 4.8.7, 4.7.12)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

11/27/2018にglibcの脆弱性情報(Moderate: CVE-2018-19591)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/01/2018にKeycloakの脆弱性情報(Important: CVE-2018-14637)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

11/30/2018にPerlの複数の脆弱性情報(Important: CVE-2018-18311 / Moderate: CVE-2018-18312 , CVE-2018-18314 , Low: CVE-2018-18313)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

11/30/2018(UTC)に、BINDに関して、Operational Notification (DNSSEC鍵の削除による壊れたNSEC / NSEC3チェインと不要なRRSIGの生成)が出ています。今回は、こちらの概要について簡単にまとめてみます。

12/03/2018にKubernetesの脆弱性情報(Critical: CVE-2018-1002105)が公開されています。Criticalな脆弱性ですので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

12/04/2018にLinux Kernelの脆弱性情報(Moderate: CVE-2018-19824)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

11/30/2018にThe 9 Lives of Bleichenbacher's CAT: New Cache ATtacks on TLS Implementationsというサイトと論文が公開されました。これによると、PKCS #1 v1.5 標準に従ったRSAに対する新たなパディングオラクル攻撃の手法が見つかったそうです。この新たな攻撃( Cache-like ATacks (CATs) )を9つのTLS実装に試したところ、7つのTLS実装で問題が発見され、ダウングレード攻撃を用いて30秒以内に利用可能な5台のTLSサーバからRSA平文の全ての2048ビットを復元することが出来たそうです(OpenSSLは今回の問題は既に過去に修正済みです)。やはりRSA鍵交換の危険性が示されており、Diffie-Hellman鍵交換が推奨されます。今後、様々な実装での修正が予想されますので、こちらで取り上げてまとめます。 2018/12/06: Arm Mbed TLSの修正情報を追加しました