複数のTLS実装でのCAT(Cache-like ATacks)の脆弱性 (RSA鍵交換の危険性)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

11/30/2018にThe 9 Lives of Bleichenbacher’s CAT: New Cache ATtacks on TLS Implementationsというサイトと論文が公開されました。これによると、PKCS #1 v1.5 標準に従ったRSAに対する新たなパディングオラクル攻撃の手法が見つかったそうです。この新たな攻撃( Cache-like ATacks (CATs) )を9つのTLS実装に試したところ、7つのTLS実装で問題が発見され、ダウングレード攻撃を用いて30秒以内に利用可能な5台のTLSサーバからRSA平文の全ての2048ビットを復元することが出来たそうです(OpenSSLは今回の問題は既に過去に修正済みです)。やはりRSA鍵交換の危険性が示されており、Diffie-Hellman鍵交換が推奨されます。今後、様々な実装での修正が予想されますので、こちらで取り上げてまとめます。

逐次情報は更新していく予定です。

2018/12/06: Arm Mbed TLSの修正情報を追加しました。

2019/01/04: WolfSSLの修正情報を追加しました。

一次情報源

The 9 Lives of Bleichenbacher’s CAT: New Cache ATtacks on TLS Implementations (特設サイト)

元になった論文(PDF)

影響の有るTLS実装

OpenSSL(過去に修正済み:)
Amazon s2n(OpenSSLベースのため修正済み)
MbedTLS(CVE-2018-19608)
Apple CoreTLS(情報なし)
Mozilla NSS (CVE-2018-12404)
WolfSSL(情報なし)(CVE-2018-16870)
GnuTLS (CVE-2018-16868)
nettle (CVE-2018-16869)

影響と緩和方法

注意しなければならない脆弱性では有りますが、あまりパニックになる必要はありません。

この脆弱性を悪用するには、ターゲットサーバと同じシステム上で動作している他の仮想マシンを見つける必要があります。

元の論文にも書かれていますが、最も安全な対策は、RSA鍵交換を廃止し、（楕円曲線）Diffie-Hellman鍵交換に切り替えることです。

関係するCVEとPriority/CVSS

CVE-2018-12404(Mozilla NSS)
CVE-2018-19608(MbedTLS)
CVE-2018-16868(GnuTLS)
- Red Hat Customer Potal
  - CVSS v3 Base Score: 4.7
  - Vector: CVSS:3.0/AV:P/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N
CVE-2018-16869(nettle)
- Red Hat Customer Potal
  - CVSS v3 Base Score: 4.7
  - Vector: CVSS:3.0/AV:P/AC:H/PR:H/UI:N/S:C/C:H/I:N/A:N
CVE-2018-16870(WolfSSL)

SW提供情報

修正方法

各ディストリビューションの情報を確認してください。

脆弱性概要(詳細は元になったPDFをご確認ください)

The 9 Lives of Bleichenbacher’s CAT: New Cache ATtacks on TLS Implementations (特設サイト)
元になった論文(PDF)

サイドチャネルベースのパディングオラクル攻撃
複数のTLS実装で、サイドチャネルベースのパディングオラクル攻撃が見つかりました。問題となるプログラムと同じコアでプロセスを実行出来る攻撃者は、この脆弱性を用いて平文を抽出したり、問題が有るサーバのTLS接続を安全でないレベルにダウングレードすることが出来る可能性があります。
詳細は一時情報源のサイト又はPDFを御確認ください。

主なディストリビューションの対応状況

詳細は、各ディストリビューションの提供元にご確認ください

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat SatelliteやKatello、Spacewalk等を使うと管理が便利でしょう。

[参考]