現在位置: ホーム / セキュリティ ブログ / OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等)

OpenSSLに複数の脆弱性(CVE-2016-2107, CVE-2016-2108等)

2016/5/3時点で、OpenSSLの複数の脆弱性が公開され、新しいバージョンが出てきています。 今回は、これらの脆弱性の説明と、各ディストリビューションの対応をまとめてみます。 逐次更新しています。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

5月3日にOpenSSLの脆弱性についての情報と、更新版がリリースされました。今回は、最新版で修正された脆弱性と、各ディストリビューションの対応について簡単にまとめてみます。


Priority

High(CVE-2016-2108, CVE-2016-2107), Low(Other)

修正方法

OpenSSLのバージョンを1.0.2h/1.0.1tにあげてください。また各ディストリビューションの情報を確認してください。

影響するバージョン

OpenSSLバージョン CVE-2016-2108 CVE-2016-2107 CVE-2016-2105 CVE-2016-2106 CVE-2016-2109 CVE-2016-2176
1.0.2 1.0.2b以前 1.0.2i以前 1.0.2i以前 1.0.2i以前 1.0.2i以前 1.0.2i以前
1.0.1 1.0.1n以前 1.0.1s以前 1.0.1s以前 1.0.1s以前 1.0.1s以前 1.0.1s以前

CVE概要(詳細はCVEのサイトをご確認ください)

  • CVE-2016-2108
    • ASN.1 encoderのメモリ衝突

    • 重要度 - 高

    • これは2015年6月11日にセキュリティリリースが出されたものと同じセキュリティインパクトになります。過去のバージョンでは、ASN.1エンコーディングで負数によりバッファアンダーフローを引き起こすという問題がありました。通常、負数はASN.1の入力として作成されないため攻撃者はこのバグを引き起こすことが出来ませんでしたが、ASN.1パーサ(具体的にはd2i_ASN1_TYPEなど)が誤った解釈により負数を生成することがわかり、これらの二つのバグを組み合わせることにより、悪用可能なメモリ破壊を引き起こすことが出来ることが判明しました。

  • CVE-2016-2107
    • AES-NI CBC MACチェックでパディングオラクル攻撃の可能性

    • 重要度 - 高

    • AES-NI CBC MACチェックでMITM攻撃者がパディングオラクル攻撃可能なことがわかりました。この問題は、CVE-2013-0169(Lucky 13パディング)の修正のために導入された箇所の不具合から発生しました。

  • CVE-2016-2105
    • EVP_EncodeUpdate オーバーフロー

    • 重要度 - 低

    • EVP_EncodeUpdate()関数の処理に問題があり、Base64エンコードされたバイナリデータを処理する際にオーバーフローを発生させることが出来ることがわかりました。

  • CVE-2016-2106
    • EVP_EncryptUpdate オーバーフロー

    • 重要度 - 低

    • EVP_EncryptUpdate()関数の処理に問題があり、オーバーフローを発生させることが出来ることがわかりました。

  • CVE-2016-2109
    • BIOによる過度のメモリ割り当て

    • 重要度 - 低

    • ASN.1データ(例えば2i_CMS_bioなどの機能を用いたもの)がASN.1データがBIOから読み出されることにより、BIOから読み出されるときの短い無効な符号化は、大量のメモリの割当を引き起こす可能性があります。

  • CVE-2016-2176
    • アプリケーションによるoverreadの引き起こし

    • 重要度 - 低

    • アプリケーションがEBCDICシステムでX509_NAME_oneline()関数を使用した場合、任意のスタックデータがバッファに渡ってしまいます。


主なディストリビューションの対応方法

OpenSSL及び関係するパッケージのバージョンを更新する必要があります。

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。全てのRed Hat製品でパッチが行き渡っているかを確認するには、Red Hat Satelliteを使うと管理が便利でしょう。

また、OpenSSLを使用してサービスを提供している場合には、サービスの再起動が発生しますので、pacemakerなどOSSのクラスタ製品LifeKeeperなどの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます。


[参考]

OpenSSL Security Advisory [3rd May 2016]


[セミナー告知]

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン

最新の記事
Apache httpd に複数の脆弱性 ( CVE-2017-3167, CVE-2017-3169, CVE-2017-7659, CVE-2017-7668, CVE-2017-7679 ) 2017年06月20日
Apache mod_http2の脆弱性 ( CVE-2017-7659 ) 2017年06月20日
linux kernelにStack Guard Page迂回の脆弱性( CVE-2017-1000364 ) 2017年06月20日
glibcにStack Guard Page迂回の脆弱性(CVE-2017-1000366) 2017年06月20日
GnuTLS の 脆弱性 (GNUTLS-SA-2017-4 : CVE-2017-7507 ) 2017年06月17日
bind 9 に緊急を含む複数の脆弱性 ( CVE-2017-3140 , CVE-2017-3141 ) 2017年06月15日
linux kernelの脆弱性( CVE-2017-1000380 ) 2017年06月14日
libgcryptの脆弱性( CVE-2017-9526 ) 2017年06月12日
cronの脆弱性(CVE-2017-9525) 2017年06月11日
SambaにDoSの脆弱性(CVE-2017-9461) 2017年06月07日
Tomcatの脆弱性 ( CVE-2017-5664 ) 2017年06月07日
sudoに任意のコマンド実行と情報漏えいの脆弱性( CVE-2017-1000368 ) 2017年06月06日
wiresharkに複数の脆弱性(CVE-2017-9343, CVE-2017-9344, CVE-2017-9345, CVE-2017-9346, CVE-2017-9347, CVE-2017-9348, CVE-2017-9349, CVE-2017-9350, CVE-2017-9351, CVE-2017-9352, CVE-2017-9353, CVE-2017-9354 ) 2017年06月03日
Xenの複数の脆弱性 (XSA-213: CVE-2017-8903 / XSA-214: CVE-2017-8904 / XSA-215: CVE-2017-8905) 2017年06月03日
Keycloak Node.js adapterの脆弱性( CVE-2017-7474 ) 2017年06月02日
FreeRADIUSの脆弱性 ( CVE-2017-9148 ) 2017年06月01日
OpenLDAPの脆弱性 ( CVE-2017-9287 ) 2017年05月31日
sudoに完全な特権昇格の脆弱性( CVE-2017-1000367 ) 2017年05月31日
linux kernelの脆弱性( CVE-2017-9242 ) 2017年05月27日
Zabbixの脆弱性( CVE-2017-2824 ) 2017年05月27日
最新の記事 - もっと...