各位
OpenSSL の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160010.html
I. 概要
OpenSSL Project が提供する OpenSSL には複数の脆弱性があります。影響を受ける脆弱性の詳細については、OpenSSL Project の情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [1st March 2016]
https://www.openssl.org/news/secadv/20160301.txt
影響を受ける脆弱性 (CVE-2016-0800) について、該当するバージョンの OpenSSLを用いて、SSLv2 を利用可能としている場合に、遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性があります。
** 更新: 2016年3月3日追記 ****************
Vulnerability Note VU#583776 では、秘密鍵が取得される可能性が指摘されていましたが、脆弱性 (CVE-2016-0800) の発見者によれば、秘密鍵を取得されることはないものの、暗号化された通信を解読される可能性があるとのことです。
**************************************************
II. 対象
以下のバージョンが脆弱性の影響を受けます。
- OpenSSL 1.0.1r およびそれ以前の 1.0.1 系列
- OpenSSL 1.0.2f およびそれ以前の 1.0.2 系列
III. 対策
OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。
- OpenSSL 1.0.1s
- OpenSSL 1.0.2g
OpenSSL Project によれば、OpenSSL 0.9.8 系列及び 1.0.0 系列は、2015年12月31日にて、サポートが終了しており、今後修正済みのバージョンは提供されないとのことです。
OpenSSL Project
The New Release Strategy
https://www.openssl.org/blog/blog/2014/12/23/the-new-release-strategy/
なお、脆弱性 (CVE-2016-0800) の回避策として、修正済みバージョンの適用が困難な場合は、SSLv2 を無効にすることを検討してください。
IV. 参考情報
Vulnerability Note VU#583776
Network traffic encrypted using RSA-based SSL certificates over SSLv2 may be decrypted by the DROWN attack
https://www.kb.cert.org/vuls/id/583776
OpenSSL Project
Release Strategy
https://www.openssl.org/policies/releasestrat.html
RedHat, Inc.
DROWN - Cross-protocol attack on TLS using SSLv2 - CVE-2016-0800
https://access.redhat.com/security/vulnerabilities/drown
Debian Project
DSA-3500-1 openssl -- security update
https://www.debian.org/security/2016/dsa-3500
Canonical Ltd (Ubuntu)
USN-2914-1: OpenSSL vulnerabilities
http://www.ubuntu.com/usn/usn-2914-1/
** 更新: 2016年3月3日追記 ****************
The DROWN Attack
https://drownattack.com/
JVNVU#90617353
SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
https://jvn.jp/vu/JVNVU90617353/
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2016-03-02 初版
2016-03-03 「I. 概要」、「IV. 参考情報」の修正
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
JPCERT-AT-2016-0010
JPCERT/CC
2016-03-02(新規)
2016-03-03(更新)
JPCERT/CC Alert 2016-03-02
OpenSSL の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160010.html
I. 概要
OpenSSL Project が提供する OpenSSL には複数の脆弱性があります。影響を受ける脆弱性の詳細については、OpenSSL Project の情報を確認してください。
OpenSSL Project
OpenSSL Security Advisory [1st March 2016]
https://www.openssl.org/news/secadv/20160301.txt
影響を受ける脆弱性 (CVE-2016-0800) について、該当するバージョンの OpenSSLを用いて、SSLv2 を利用可能としている場合に、遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性があります。
** 更新: 2016年3月3日追記 ****************
Vulnerability Note VU#583776 では、秘密鍵が取得される可能性が指摘されていましたが、脆弱性 (CVE-2016-0800) の発見者によれば、秘密鍵を取得されることはないものの、暗号化された通信を解読される可能性があるとのことです。
**************************************************
II. 対象
以下のバージョンが脆弱性の影響を受けます。
- OpenSSL 1.0.1r およびそれ以前の 1.0.1 系列
- OpenSSL 1.0.2f およびそれ以前の 1.0.2 系列
III. 対策
OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されています。十分なテストを実施の上、修正済みのバージョンを適用することをお勧めします。
- OpenSSL 1.0.1s
- OpenSSL 1.0.2g
OpenSSL Project によれば、OpenSSL 0.9.8 系列及び 1.0.0 系列は、2015年12月31日にて、サポートが終了しており、今後修正済みのバージョンは提供されないとのことです。
OpenSSL Project
The New Release Strategy
https://www.openssl.org/blog/blog/2014/12/23/the-new-release-strategy/
なお、脆弱性 (CVE-2016-0800) の回避策として、修正済みバージョンの適用が困難な場合は、SSLv2 を無効にすることを検討してください。
IV. 参考情報
Vulnerability Note VU#583776
Network traffic encrypted using RSA-based SSL certificates over SSLv2 may be decrypted by the DROWN attack
https://www.kb.cert.org/vuls/id/583776
OpenSSL Project
Release Strategy
https://www.openssl.org/policies/releasestrat.html
RedHat, Inc.
DROWN - Cross-protocol attack on TLS using SSLv2 - CVE-2016-0800
https://access.redhat.com/security/vulnerabilities/drown
Debian Project
DSA-3500-1 openssl -- security update
https://www.debian.org/security/2016/dsa-3500
Canonical Ltd (Ubuntu)
USN-2914-1: OpenSSL vulnerabilities
http://www.ubuntu.com/usn/usn-2914-1/
** 更新: 2016年3月3日追記 ****************
The DROWN Attack
https://drownattack.com/
JVNVU#90617353
SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃)
https://jvn.jp/vu/JVNVU90617353/
**************************************************
今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。
________
改訂履歴
2016-03-02 初版
2016-03-03 「I. 概要」、「IV. 参考情報」の修正
==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
前
コメント
共 有
