GnuTLSの脆弱性情報(Medium: CVE-2019-3829, CVE-2019-3836)

OSS脆弱性ブログ

03/26/2019にGnuTLSの脆弱性情報(High: CVE-2019-3829, CVE-2019-3836)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

2019.03.282023.04.06

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

03/26/2019にGnuTLSの脆弱性情報(Medium: CVE-2019-3829, CVE-2019-3836)が公開されています。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

一次情報源

各ディストリビューションの情報を確認してください。

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3829
- メモリ破壊(double free)の脆弱性
- 重要度 – High
- 影響するバージョン : 3.5.8-3.6.6
- メモリ破壊(double free)の脆弱性が証明書検証API中に存在しました。X.509証明書をGnuTLS 3.5.8以上の該当バージョンで検証しているクライアント／サーバアプリケーションが対象になります。
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3836
- 初期化されていないポインタへのアクセス
- 重要度 – High
- 影響するバージョン : 3.6.4-3.6.6
- 細工されたTLS 1.3のasync handshakeをデコードする事で初期化されていないポインタへのアクセスが発生します。

詳細は、各ディストリビューションの提供元にご確認ください

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

また、サービスの再起動が発生する場合には、peacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。