OpenSSLの脆弱性情報(Low: CVE-2019-1551)

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
- バッファーオーバーフローの可能性
- 重要度 – Low
- 対象 – OpenSSL 1.1.1/1.0.2
- 512ビットのmoduliとしてべき乗で使用されているMontgomery squaringプロシージャにオーバーフローのバグが見つかりました。ECアルゴリズムには影響しません。この欠陥の結果として2-prime RSA1024、3-prime RSA1536、およびDSA1024に対する攻撃は実行が非常に困難であり、可能性が高くないと分析されています。DH512に対する攻撃は実行可能であると見なされています。ただし、攻撃の場合、ターゲットはDH512秘密キーを再使用する必要がありますが、これは元々推奨されていない方法です。また、BN_FLG_CONSTTIMEを使用している場合、LowレベルのAPI BN_mod_expを直接使用するアプリケーションも影響を受ける可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください

Debian
https://security-tracker.debian.org/tracker/CVE-2019-1551
Red Hat Enterprise Linux/CentOS
Ubuntu
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-1551.html
SUSE/openSUSE

対処方法

今回は修正版が出ないため、対処は各ディストリビューションの情報に従ってください。

なお、OpenSSL 1.0.1シリーズ以前のバージョンは本家ではサポート終了となっておりますので詳しい情報は各ディストリビューショ
ンの提供元にご確認下さい。

[参考]

OpenSSL Security Advisory [6 December 2019]

https://www.openssl.org/news/vulnerabilities.html

セキュリティ系連載案内

OSSセキュリティ技術の会による日経Linuxでの連載「IoT時代の最新SELinux入門」がITPro上で読めるようになりました。技術の会代表で第一人者である中村さん等による、最新のSELinuxの情報やコマンド類等も更新されているのでお薦めです。
OSSセキュリティ技術の会によるThinkITでの連載「開発者のためのセキュリティ実践講座」がThinkIT上で開始しました。技術の会の中の人間で、最新の代表的なOSSセキュリティ技術を紹介していきます。
OSSセキュリティ技術の会により、ThinkITでLinuxSecuritySummit 2018のレポートが紹介されています。
OSSセキュリティ技術の会の面により、@ITで「OSS脆弱性ウォッチ」が連載されています。
OSSセキュリティ技術の会の面により、@ITで「OpenSCAPで脆弱性対策はどう変わる？」が連載されています。
OSSセキュリティ技術の会のメンバーにより、@ITで「Berkeley Packet Filter（BPF）入門」が連載されています。

セミナー情報1

OSSセキュリティ技術の会では、2019/12/13(金) 19:00-21:00に「OSSセキュリティ技術の会　第七回勉強会(副題：君がッ泣くまで入力をやめないッ！～Linuxカーネルの高度な試験自動化技術とバグハンティングの巻～)」と題して、「syzkaller/syzbot」をテーマに勉強会を開催することになりました。

Linux カーネルのソースコードカバレッジを活用した高度な試験自動化技術について話していただきます。

プログラム内容と申し込みの詳細についてはこちら(connpass)を御確認下さい。

セミナー情報2

12/23(月) 19:00から21:00で、恵比寿のRed Hat様（会場）「RHEL好きの集い」コミュニティによるイベント「RHEL好きの集い Vol.2.1 」を開催致します。

今回は”〜RHEL8のライブカーネルパッチとUBIを深堀り〜”と題しまして、RHEL8.1から正式サポートになりましたkpatchと、UBIを深堀するイベントとなります。

プログラム内容と申し込みの詳細につきましては、こちら(connpass)を御確認下さい。