現在位置: ホーム / セキュリティ ブログ / OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等)

OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等)

2016/5/3時点で、OpenSSLの複数の脆弱性が公開され、新しいバージョンが出てきています。 今回は、これらの脆弱性の説明と、各ディストリビューションの対応をまとめてみます。 逐次更新しています。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

5月3日にOpenSSLの脆弱性についての情報と、更新版がリリースされました。今回は、最新版で修正された脆弱性と、各ディストリビューションの対応について簡単にまとめてみます。


Priority

High(CVE-2016-2108, CVE-2016-2107), Low(Other)

修正方法

OpenSSLのバージョンを1.0.2h/1.0.1tにあげてください。また各ディストリビューションの情報を確認してください。

影響するバージョン

OpenSSLバージョン CVE-2016-2108 CVE-2016-2107 CVE-2016-2105 CVE-2016-2106 CVE-2016-2109 CVE-2016-2176
1.0.2 1.0.2b以前 1.0.2i以前 1.0.2i以前 1.0.2i以前 1.0.2i以前 1.0.2i以前
1.0.1 1.0.1n以前 1.0.1s以前 1.0.1s以前 1.0.1s以前 1.0.1s以前 1.0.1s以前

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2016-2108
    • ASN.1 encoderのメモリ衝突

    • 重要度 - 高

    • これは2015年6月11日にセキュリティリリースが出されたものと同じセキュリティインパクトになります。過去のバージョンでは、ASN.1エンコーディングで負数によりバッファアンダーフローを引き起こすという問題がありました。通常、負数はASN.1の入力として作成されないため攻撃者はこのバグを引き起こすことが出来ませんでしたが、ASN.1パーサ(具体的にはd2i_ASN1_TYPEなど)が誤った解釈により負数を生成することがわかり、これらの二つのバグを組み合わせることにより、悪用可能なメモリ破壊を引き起こすことが出来ることが判明しました。

  • CVE-2016-2107
    • AES-NI CBC MACチェックでパディングオラクル攻撃の可能性

    • 重要度 - 高

    • AES-NI CBC MACチェックでMITM攻撃者がパディングオラクル攻撃可能なことがわかりました。この問題は、CVE-2013-0169(Lucky 13パディング)の修正のために導入された箇所の不具合から発生しました。

  • CVE-2016-2105
    • EVP_EncodeUpdate オーバーフロー

    • 重要度 - 低

    • EVP_EncodeUpdate()関数の処理に問題があり、Base64エンコードされたバイナリデータを処理する際にオーバーフローを発生させることが出来ることがわかりました。

  • CVE-2016-2106
    • EVP_EncryptUpdate オーバーフロー

    • 重要度 - 低

    • EVP_EncryptUpdate()関数の処理に問題があり、オーバーフローを発生させることが出来ることがわかりました。

  • CVE-2016-2109
    • BIOによる過度のメモリ割り当て

    • 重要度 - 低

    • ASN.1データ(例えば2i_CMS_bioなどの機能を用いたもの)がASN.1データがBIOから読み出されることにより、BIOから読み出されるときの短い無効な符号化は、大量のメモリの割当を引き起こす可能性があります。

  • CVE-2016-2176
    • アプリケーションによるoverreadの引き起こし

    • 重要度 - 低

    • アプリケーションがEBCDICシステムでX509_NAME_oneline()関数を使用した場合、任意のスタックデータがバッファに渡ってしまいます。


主なディストリビューションの対応方法

OpenSSL及び関係するパッケージのバージョンを更新する必要があります。

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、OpenSSLを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


[参考]

OpenSSL Security Advisory [3rd May 2016]


[セミナー告知]

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン

最新の記事
xrdpの脆弱性(CVE-2017-16927) 2017年11月24日
MIT Kerberosの脆弱性(CVE-2017-15088) 2017年11月24日
RPMの脆弱性(CVE-2017-7501) 2017年11月23日
Ansibleの脆弱性(CVE-2017-7550) 2017年11月23日
BusyBoxの脆弱性(CVE-2017-16544) 2017年11月23日
広範囲のSambaに複数の脆弱性(CVE-2017-14746, CVE-2017-15275) 2017年11月21日
CPython(Python)の脆弱性(CVE-2017-1000158) 2017年11月18日
procmailの脆弱性(CVE-2017-16844) 2017年11月17日
PostgreSQLの広範囲のバージョンに複数の脆弱性(CVE-2017-12172, CVE-2017-15098, CVE-2017-15099) 2017年11月10日
Glusterの複数の脆弱性(CVE-2017-15085, CVE-2017-15086, CVE-2017-15087) 2017年11月09日
Apache Hadoopの脆弱性 (CVE-2017-3166) 2017年11月09日
PHPの脆弱性(CVE-2017-16642) 2017年11月09日
GNOME Nautilusの脆弱性(CVE-2017-14604) 2017年11月09日
Linux KernelのUSB周りに複数の脆弱性(追加)(CVE-2017-16643, CVE-2017-16644, CVE-2017-16645, CVE-2017-16646, CVE-2017-16647, CVE-2017-16648, CVE-2017-16649, CVE-2017-16650) 2017年11月09日
Cactiの複数の脆弱性(CVE-2017-16641, CVE-2017-16660, CVE-2017-16661) 2017年11月08日
Linux Kernelの脆弱性(CVE-2017-15306) 2017年11月08日
rsyncの脆弱性(CVE-2017-16548) 2017年11月06日
Linux KernelのUSB周りに複数の脆弱性(CVE-2017-16525, CVE-2017-16526, CVE-2017-16527, CVE-2017-16528, CVE-2017-16529, CVE-2017-16530, CVE-2017-16531, CVE-2017-16532, CVE-2017-16533, CVE-2017-16534, CVE-2017-16535, CVE-2017-16536, CVE-2017-16537, CVE-2017-16538) 2017年11月05日
OpenSSLの複数の脆弱性 ( CVE-2017-3735, CVE-2017-3736 ) 2017年11月03日
Linux Kernelの脆弱性(CVE-2017-12193) 2017年11月02日
最新の記事 - もっと...