OSS脆弱性ブログBINDに関してのOperational Notification (DNSSEC鍵の削除による壊れたNSEC / NSEC3チェインと不要なRRSIGの生成)
11/30/2018(UTC)に、BINDに関して、Operational Notification (DNSSEC鍵の削除による壊れたNSEC / NSEC3チェインと不要なRRSIGの生成)が出ています。今回は、こちらの概要について簡単にまとめてみます。
OSS脆弱性ブログ
OSS脆弱性ブログ OSS脆弱性ブログKubernetesの脆弱性情報(Critical: CVE-2018-1002105)
12/03/2018にKubernetesの脆弱性情報(Critical: CVE-2018-1002105)が公開されています。Criticalな脆弱性ですので、今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログLinux Kernelの脆弱性情報(Moderate: CVE-2018-19824)
12/04/2018にLinux Kernelの脆弱性情報(Moderate: CVE-2018-19824)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログ複数のTLS実装でのCAT(Cache-like ATacks)の脆弱性 (RSA鍵交換の危険性)
11/30/2018にThe 9 Lives of Bleichenbacher's CAT: New Cache ATtacks on TLS Implementationsというサイトと論文が公開されました。これによると、PKCS #1 v1.5 標準に従ったRSAに対する新たなパディングオラクル攻撃の手法が見つかったそうです。この新たな攻撃( Cache-like ATacks (CATs) )を9つのTLS実装に試したところ、7つのTLS実装で問題が発見され、ダウングレード攻撃を用いて30秒以内に利用可能な5台のTLSサーバからRSA平文の全ての2048ビットを復元することが出来たそうです(OpenSSLは今回の問題は既に過去に修正済みです)。やはりRSA鍵交換の危険性が示されており、Diffie-Hellman鍵交換が推奨されます。今後、様々な実装での修正が予想されますので、こちらで取り上げてまとめます。2018/12/06: Arm Mbed TLSの修正情報を追加しました
OSS脆弱性ブログLinux Kernelの脆弱性情報(Moderate: CVE-2018-19854)
12/05/2018にLinux Kernelの脆弱性情報(Moderate: CVE-2018-19854)が公開されています。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログQemuの脆弱性情報(Important: CVE-2018-16867)
12/03/2018にQemuの脆弱性情報(Important: CVE-2018-16867)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログQemuの脆弱性情報(Moderate: CVE-2018-19665)
12/04/2018にQemuの脆弱性情報(Moderate: CVE-2018-19665)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログPHPの脆弱性情報(Low: CVE-2018-19935)
12/07/2018にPHPの脆弱性情報(Low: CVE-2018-19935)が公開されました。今回はこの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログforemanの脆弱性情報(Moderate: CVE-2018-16861)
11/30/2018にforemanの脆弱性情報(Moderate: CVE-2018-16861)が公開されています。今回はこれらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。
OSS脆弱性ブログPolicy Kitの脆弱性情報(Moderate: CVE-2018-19788)
12/03/2018にPolicy Kitの脆弱性情報(Moderate: CVE-2018-19788)が公開されています。条件が特殊なのが前提になりますが、簡単に再現(PoC)が出来るため、今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。