-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2008-0008 JPCERT/CC 2008-05-16(初版) 2008-05-19(更新) <<< JPCERT/CC Alert 2008-05-16 >>> Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性に関する注意喚起 OpenSSL packages contain a predictable random number generator http://www.jpcert.or.jp/at/2008/at080008.txt I. 概要 Debian GNU/Linux、Ubuntu などのディストリビューションに含まれる OpenSSL のパッケージには推測可能な乱数を生成する問題があります。結果と して、遠隔の第三者に暗号化された通信を復号される可能性や、証明書を使っ た公開鍵認証が回避される可能性があります。 OpenSSH で公開鍵認証に使用する鍵ペアを該当の OpenSSL ライブラリを使 用して作成した場合、ブルートフォース攻撃による不正なアクセスを許す可能 性があります。 2008年5月16日現在、複数の攻撃コードが公開されています。JPCERT/CC が 運用する定点観測システムではこの脆弱性をねらったと思われるスキャンは観 測しておりませんが、引き続き注意が必要です。 また、OpenSSL ライブラリを利用するその他のパッケージ(OpenVPN、 OpenSWAN など)にも間接的な影響があります。 II. 対象 対象となる製品とバージョンは以下の通りです。 - Debian GNU/Linux 4.0 (etch) 、及び派生バージョン - Ubuntu 7.04 (Feisty) - Ubuntu 7.10 (Gutsy) - Ubuntu 8.04 LTS (Hardy) 3.1(Sarge) までの Debian GNU/Linux はこの問題の影響を受けません。上 記以外の Debian ベースのディストリビューションも影響を受ける可能性があ ります。 *** 更新: 2008年5月19日改訂 ****************************************** ご使用の OpenSSL のバージョンは以下のコマンドを実行することで確認す ることができます。 # dpkg -s openssl Debian GNU/Linux 4.0 (etch) ではこの問題はバージョン 0.9.8c-4etch3 で修正されています。 ********************************************************************** 詳しくは各ディストリビューターが提供する情報をご確認下さい。 III. 対策 該当のディストリビューションを使用しているサーバ管理者は OpenSSL パッ ケージを最新のバージョンに更新してください。SSH 鍵や SSL 証明書等を再 作成してください。 また、既に作成済みの脆弱な鍵や証明書が、サーバに登録されている可能性 もあります。サーバ管理者は、OS が Debian ベースでなくともユーザが登録 している鍵が脆弱なものでないことを確認することを強く推奨します。Debian Project から dowkd.pl や ssh-vulnkey などの脆弱な鍵を探すツールがリリー スされています。 詳細に関しては、下記の情報を参照してください。 DSA-1571-1 openssl -- 予測可能な乱数の生成 http://www.debian.org/security/2008/dsa-1571 DSA-1576-1 openssh -- 予測可能な乱数生成器 http://www.debian.org/security/2008/dsa-1576 IV. 参考情報 *** 更新: 2008年5月16日追記 ****************************************** JVNVU#925211 Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性 http://jvn.jp/cert/JVNVU925211/index.html ********************************************************************** *** 更新: 2008年5月19日追記 ****************************************** OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等) http://www.debian.or.jp/blog/openssl_package_and_its_vulnerability.html Ubuntu Security Notice USN-612-1 openssl vulnerability http://www.ubuntu.com/usn/usn-612-1 ********************************************************************** US-CERT Vulnerability Notes VU#925211 http://www.kb.cert.org/vuls/id/925211 Debian and Ubuntu OpenSSL and OpenSSH Vulnerabilities http://www.us-cert.gov/current/index.html#debian_openssl_vulnerability SSH鍵のチェックツール (debian.org) http://security.debian.org/project/extra/dowkd/dowkd.pl.gz http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc Key Rollover http://www.debian.org/security/key-rollover/ 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 __________ 改訂履歴 2008-05-16 初版 2008-05-16 参考情報にURLを追加 2008-05-19 バージョン確認方法を修正、チェックツールの署名ファイルへの リンク追加、ツールの配布元をdebian.orgからDebian Projectへ 変更 ====================================================================== JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602  http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQCVAwUBSDFCwIx1ay4slNTtAQigZgP/dKVESX4T6WOuzHXaz7wsj70Q57AzGKkH S5YmlHlZAU8/jZ6r1kohbtJRQKnvd6r2XgwMzeWJ5Nil5Gp6hvknz3eRlHH+Bw2T VqBX9W+YPDzLmVbwYm3cQGg5j1+hsoQPliEMQz8oy4C3cKyPOjtGTMM7+yY/U2bq aa3mT61VepQ= =+QVg -----END PGP SIGNATURE-----