現在位置: ホーム / セキュリティ ブログ / OpenSSLの脆弱性(CVE-2016-8610 : SSL Death Alert)

OpenSSLの脆弱性(CVE-2016-8610 : SSL Death Alert)

10月24日に新たに「SSL Death Alert」というOpenSSLの脆弱性についての情報が公開されました。前回(9月22日)の対応で修正されている問題ですが、念の為、各ディストリビューションの対応について簡単にまとめてみます。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

10月24日に新たに「SSL Death Alert」というOpenSSLの脆弱性についての情報が公開されました。前回(9月22日)の対応で修正されている問題ですが、念の為、各ディストリビューションの対応について簡単にまとめてみます。

 


情報源

http://seclists.org/oss-sec/2016/q4/224

情報源にもある通り、この脆弱性は前回の修正を適用した場合には対象外となります。

修正方法

OpenSSLのバージョンを1.0.2j/1.1.0bにあげてください。また各ディストリビューションの情報を確認してください。

影響するバージョン

 

CVE概要(詳細は一次情報源のサイトをご確認ください)

  • CVE-2016-8610
    • リモートからの"SSL3_AL_WARNING"パケットによるDoSの可能性(SSL Death Alert)

    • ssl/s3_pkt.c中の"ssl3_read_bytes"関数の実装に問題が有り、リモートからハンドシェイク中に"SSL3_AL_WARNING"パケットを多数送ることによりDoSを引き起こすことが可能です。


主なディストリビューションの対応方法

OpenSSL及び関係するパッケージのバージョンを更新する必要があります。

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

各ディストリビューションの案内に従い、アップデートを行ってください。

また、OpenSSLのライブラリを使用しているサービスの再起動が発生しますので、pacemakerなど OSSのクラスタ製品LifeKeeperな どの商用のクラスタリング製品を使うとサービス断の時間を最小限にすることが出来ます 。

[セミナー告知]

11/30(水)に「OSSセキュリティナイター vol.3」と題して、セキュリティのセミナーを行います。

この回では、世界で最も利用されているオープンソースデータベースであるMySQLを取り上げ、『MySQLデータベースのセキュリティを考える 〜 重要データを守るために必要なこと〜』と題してセミナーを開催します。

今回も、前回に引き続き、ゲスト講師としてMySQLスペシャリストをお招きし講演をいただきます。

http://connpass.com/event/44819/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

OSSよろず相談室

サイオスOSSよろず相談室(2)

問い合わせボタン