OpenSSLの脆弱性 ( CVE-2018-0739, CVE-2018-0733 ) — | サイオスOSS | サイオステクノロジー

OpenSSLの脆弱性 ( CVE-2018-0739, CVE-2018-0733 )

03/27/2018に、当初の予告通りOpenSSLに関しての脆弱性情報 ( CVE-2018-0739, CVE-2018-0733 )と、OpenSSL 1.0.2o / 1.1.0h が公開されました。今回は、これらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面和毅です。

一次情報源

https://www.openssl.org/news/vulnerabilities.html

影響するバージョン

CVE-2018-0739: OpenSSL: 1.0.2b-1.0.2n , 1.1.0-1.1.0g

CVE-2018-0733: OpenSSL: 1.1.0-1.1.0g (HP-UX PA-RISCのみ)

修正バージョン

OpenSSL: 1.0.2o , 1.1.0h

Priority

Medium/Moderate

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

CVE-2018-0739

DoS攻撃の可能性
重要度 – Medium/Moderate
対象：OpenSSL 1.0.2b-1.0.2n , 1.1.0-1.1.0g
再帰的定義により構成されたASN.1のタイプ(例えばPKCS7に見られるようなもの)が、過度の再帰を伴う悪質な入力を与えられた場合、最終的にスタックを超えてしまう可能性があります。これによりDoS攻撃が発生する可能性が有ります。このようなSSL/TLSを用いた構成は、信頼されていないソースからくることは無いので、安全であると考えられます。この問題は、OSS-fuzzにより報告されました。

CVE-2018-0733

PA-RISCでの実装上のバグ(その他のアーキテクチャは影響を受けない)
重要度 – Medium/Moderate
対象：OpenSSL 1.1.0-1.1.0g
実装上のバグで、PA-RISC CRYPTO_memcmp関数は、各バイトの最下位ビットのみを比較するようになっています。これにより、攻撃者はこのセキュリティスキームに保証されるよりも少ない試行回数で、認証されたメッセージを偽造することが出来ます。このモジュールはHP-UXでのみコンパイルされるため、HP-UX PA-RISCのみが影響をウケます。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

なお、OpenSSL 1.0.1シリーズ以前のバージョンは本家ではサポート終了となっておりますので詳しい情報は各ディストリビューションの提供元にご確認下さい。

対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

Red Hat Satelliteを用いた一般的なErattaの適用は、『Red Hat Satellite 6でerrataを適用してみる』を参考にして下さい。

また、アプリケーションの再起動が発生しますので、pacemakerなどOSSのクラスタ製品やLifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。

[参考]

https://www.openssl.org/news/vulnerabilities.html

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2017のレポートが紹介されています。

セミナー情報

2018年05月17日 (木) 15：00から、MKTインターナショナル株式会社 / デジタルアーツ株式会社 / 日本オラクル株式会社 / サイオステクノロジー株式会社で連携してセミナーを開催します。

日本オラクル社からは、 MySQL Global Business Unit Sales Consulting Senior Managerの梶山隆輔をお招きし、MySQLデータベースのセキュリティソリューションについてお話を頂きます。

https://sios.secure.force.com/webform/SeminarDetail?id=701100000012NsIAAUがプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

関連コンテンツ: OpenSSLの脆弱性 ( CVE-2017-3737, CVE-2017-3738 ); OpenSSLに複数の脆弱性 ( CVE-2017-3730 , CVE-2017-3731 , CVE-2017-3732 ); OpenSSLに複数の脆弱性（ CVE-2016-7054 , CVE-2016-7053 , CVE-2016-7055）; OpenSSLの脆弱性(CVE-2016-7056 ); OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等); OpenSSLの脆弱性 (CVE-2016-0800(DROWN),CVE-2016-0705,CVE-2016-0798,CVE-2016-0797,CVE-2016-0799,CVE-2016-0702(CacheBleed),CVE-2016-07-03,CVE-2016-0704); OpenSSLに複数の脆弱性（ CVE-2016-6304 , CVE-2016-6305 , SWEET32 等）