Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性に関する注意喚起
最終更新: 2008-05-19
各位
JPCERT-AT-2008-0008
JPCERT/CC
2008-05-16(初版)
2008-05-19(更新)
<<< JPCERT/CC Alert 2008-05-16 >>>
Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性に関する注意喚起
OpenSSL packages contain a predictable random number generator
http://www.jpcert.or.jp/at/2008/at080008.txt
I. 概要
Debian GNU/Linux、Ubuntu などのディストリビューションに含まれる
OpenSSL のパッケージには推測可能な乱数を生成する問題があります。結果と
して、遠隔の第三者に暗号化された通信を復号される可能性や、証明書を使っ
た公開鍵認証が回避される可能性があります。
OpenSSH で公開鍵認証に使用する鍵ペアを該当の OpenSSL ライブラリを使
用して作成した場合、ブルートフォース攻撃による不正なアクセスを許す可能
性があります。
2008年5月16日現在、複数の攻撃コードが公開されています。JPCERT/CC が
運用する定点観測システムではこの脆弱性をねらったと思われるスキャンは観
測しておりませんが、引き続き注意が必要です。
また、OpenSSL ライブラリを利用するその他のパッケージ(OpenVPN、
OpenSWAN など)にも間接的な影響があります。
II. 対象
対象となる製品とバージョンは以下の通りです。
- Debian GNU/Linux 4.0 (etch) 、及び派生バージョン
- Ubuntu 7.04 (Feisty)
- Ubuntu 7.10 (Gutsy)
- Ubuntu 8.04 LTS (Hardy)
3.1(Sarge) までの Debian GNU/Linux はこの問題の影響を受けません。上
記以外の Debian ベースのディストリビューションも影響を受ける可能性があ
ります。
*** 更新: 2008年5月19日改訂 ******************************************
ご使用の OpenSSL のバージョンは以下のコマンドを実行することで確認す
ることができます。
# dpkg -s openssl
Debian GNU/Linux 4.0 (etch) ではこの問題はバージョン 0.9.8c-4etch3
で修正されています。
**********************************************************************
詳しくは各ディストリビューターが提供する情報をご確認下さい。
III. 対策
該当のディストリビューションを使用しているサーバ管理者は OpenSSL パッ
ケージを最新のバージョンに更新してください。SSH 鍵や SSL 証明書等を再
作成してください。
また、既に作成済みの脆弱な鍵や証明書が、サーバに登録されている可能性
もあります。サーバ管理者は、OS が Debian ベースでなくともユーザが登録
している鍵が脆弱なものでないことを確認することを強く推奨します。Debian
Project から dowkd.pl や ssh-vulnkey などの脆弱な鍵を探すツールがリリー
スされています。
詳細に関しては、下記の情報を参照してください。
DSA-1571-1 openssl -- 予測可能な乱数の生成
http://www.debian.org/security/2008/dsa-1571
DSA-1576-1 openssh -- 予測可能な乱数生成器
http://www.debian.org/security/2008/dsa-1576
IV. 参考情報
*** 更新: 2008年5月16日追記 ******************************************
JVNVU#925211
Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性
http://jvn.jp/cert/JVNVU925211/index.html
**********************************************************************
*** 更新: 2008年5月19日追記 ******************************************
OpenSSL パッケージの脆弱性とその影響について (SSH鍵、SSL証明書等)
http://www.debian.or.jp/blog/openssl_package_and_its_vulnerability.html
Ubuntu Security Notice USN-612-1
openssl vulnerability
http://www.ubuntu.com/usn/usn-612-1
**********************************************************************
US-CERT Vulnerability Notes VU#925211
http://www.kb.cert.org/vuls/id/925211
Debian and Ubuntu OpenSSL and OpenSSH Vulnerabilities
http://www.us-cert.gov/current/index.html#debian_openssl_vulnerability
SSH鍵のチェックツール (debian.org)
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc
Key Rollover
http://www.debian.org/security/key-rollover/
今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。
__________
改訂履歴
2008-05-16 初版
2008-05-16 参考情報にURLを追加
2008-05-19 バージョン確認方法を修正、チェックツールの署名ファイルへの
リンク追加、ツールの配布元をdebian.orgからDebian Projectへ
変更
======================================================================
JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
http://www.jpcert.or.jp/
Topへ