2015年7月6日に予告されたOpenSSLの深刻な問題に関して:CVE-2015-1793

こんばんわ。クララの運用の中の人のunoです。

今回は最近インターネット界隈で再び騒がれているOpenSSLに関してまとめてみました。

きっかけは7月6日にOpenSSLのMLへ予告された内容でした。

 

・OpenSSL org
https://mta.openssl.org/pipermail/openssl-announce/2015-July/000037.html

バージョン1.0.2d and 1.0.1pに深刻度 High のものが含まれており、7月9日に公開されるとのことでした。

弊社でも情報を追っていたところ、昨日22時頃にリリース案内がされました。

 

・OpenSSL org
https://mta.openssl.org/pipermail/openssl-announce/2015-July/000038.html

内容としては、、SSLの代替チェーン証明書を偽造できるとのこと。

クライアントとのやり取りで、証明書検索時にチェーン証明書の検索に失敗すると、代替のチェーン証明書を使用するアルゴリズムなのですが、この代替のチェーン証明書を第三者の証明書に偽装して使用することができるというもののようです。

内容から推測すると、暗号化の内容を第三者がひも解くことができそうなので、確かに深刻度は高いと言えそうです。

また、Redhatの情報も公開されました

 

・OpenSSL: Alternative chains certificate forgery vulnerability (CVE-2015-1793)
https://access.redhat.com/solutions/1523323

・CVE-2015-1793(RedHat)
https://access.redhat.com/security/cve/CVE-2015-1793

内容を纏めますと、

・Redhat4~7は影響を受けない
・Redhatとしては脆弱性ではないという認識
・今回指摘さえれている代替チェーンのサポートが含まれていないので影響は受けない

おそらく、該当バージョンが1.0.2dと1.0.1pなのですがRedhatはそのバージョンよりも低いものを利用しているため、影響は受けないようです。

個人的に調べたところ、、

 

Redhat6系 openssl-1.0.1e
Redhat5系 openssl-0.9.8e
Redhat4系 openssl-0.9.7a

 

なので、該当はしなさそうです。

 

CentOSはRedhatと同じものを使っているため、CentOSも影響は無いでしょう。

というわけで、今回の件ですが、RedhatOS系は影響を受けないといえますが、OpenSSLの該当バージョンを利用されている方は、早急にアップデートをすることをお勧めいたします。

 

 

 

Share on LinkedIn
LINEで送る
Pocket

uno

uno

cobaltサーバやbluequartz大好き、bash大好きなclaraの中の人です。