2015年3月16日に予告されたOpenSSLの重大な問題に関してまとめてみた( CVE-2015-0291 / CVE-2015-0204 )

こんばんわ。クララの運用の中の人のunoです。

今回は最近インターネット界隈で再び騒がれているOpenSSLに関してまとめてみました。

本情報は2015年3月20日2時(JST)時点で筆者が集めた情報で、今後も内容がアップデートされる可能性があります。各種情報を吟味し、落ち着いて対処しましょう。

 

OpenSSL再び

3月16日、OpenSSLのアップデート予告がOpenSSLのプロジェクトからアナウンスがされました。

 

・Forthcoming OpenSSL releases(openssl.org)
https://mta.openssl.org/pipermail/openssl-announce/2015-March/000020.html

 


These releases will be made available on 19th March. They will fix a

number of security defects. The highest severity defect fixed by these
releases is classified as “high” severity.


 

 

、、どうやら重大な問題をはらんでいるようです。

これを受けてtwitterやニュースサイトでは OpenSSL 再び問題か?また脆弱性が発見か?、、と、にわかに騒がしくなりました。

 

・OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリース(CodeZine)

http://codezine.jp/article/detail/8582

 

・OpenSSLのセキュリティアップデートが公開へ(ZDNet Japan)

http://japan.zdnet.com/article/35061899/

 

またかーーーー。

 

 

そして予告日当日、、

筆者も、注視してリリースを待っていたところ、19日22時頃(JST)に、リリースがアナウンスされました。

 

・OpenSSL Security Advisory [19 Mar 2015](openssl.org)

https://mta.openssl.org/pipermail/openssl-announce/2015-March/000026.html

 

Hightに分類されているのは、、、以下の2つのようです。
CVE-2015-0291 / CVE-2015-0204


OpenSSL 1.0.2 ClientHello sigalgs DoS (CVE-2015-0291)
=====================================================

Severity: High

If a client connects to an OpenSSL 1.0.2 server and renegotiates with an
invalid signature algorithms extension a NULL pointer dereference will occur.
This can be exploited in a DoS attack against the server.

This issue affects OpenSSL version: 1.0.2

OpenSSL 1.0.2 users should upgrade to 1.0.2a.

This issue was was reported to OpenSSL on 26th February 2015 by David Ramos
of Stanford University. The fix was developed by Stephen Henson and Matt
Caswell of the OpenSSL development team.

Reclassified: RSA silently downgrades to EXPORT_RSA [Client] (CVE-2015-0204)
============================================================================

Severity: High

This security issue was previously announced by the OpenSSL project and
classified as “low” severity. This severity rating has now been changed to
“high”.

This was classified low because it was originally thought that server RSA
export ciphersuite support was rare: a client was only vulnerable to a MITM
attack against a server which supports an RSA export ciphersuite. Recent
studies have shown that RSA export ciphersuites support is far more common.

This issue affects OpenSSL versions: 1.0.1, 1.0.0 and 0.9.8.

OpenSSL 1.0.1 users should upgrade to 1.0.1k.
OpenSSL 1.0.0 users should upgrade to 1.0.0p.
OpenSSL 0.9.8 users should upgrade to 0.9.8zd.

This issue was reported to OpenSSL on 22nd October 2014 by Karthikeyan
Bhargavan of the PROSECCO team at INRIA. The fix was developed by Stephen
Henson of the OpenSSL core team. It was previously announced in the OpenSSL
security advisory on 8th January 2015.


 

 問題の内容は?

CVE-2015-0291 はDos攻撃に利用することができるようです。暗号化の解除やサーバへの権限昇格系、リモートからの任意のコマンド実行系の問題ではないようで、ひとまず安心。

CVE-2015-0204 はFREAKの際に設定したスコア値が低かったものを高くした模様です。

 

というわけで、すぐに情報収集。。。

Redhatは、、、すぐに対策ページを作ったようです

 

・OpenSSL Updates of 19 March 2015(RedHat)

https://access.redhat.com/articles/1384453

 

これによると、、CVE-2015-0291 / CVE-2015-0204 共に RedHat5~7は「not affected(影響なし)」でした。

他のCVEに関しても比較的スコア値は低いので、現在のところ緊急度を上げて対策をする必要はなさそうですね。

 

他のディストリビューターの状況をまとめたページも出てきましたーと、クララスタッフのタグチくんからも情報をもらいました。(Thanks)

・OpenSSL Patch Released

https://isc.sans.edu/forums/diary/OpenSSL+Patch+Released/19485/

 

 

というわけで、当初思っていたほどの緊急度が高いわけではありませんが、問題があることには変わりがなく、パッチがリリースされたら早めのアップデートされることを推奨します。

 

 

 

Share on LinkedIn
LINEで送る
Pocket

uno

uno

cobaltサーバやbluequartz大好き、bash大好きなclaraの中の人です。