現在位置: ホーム / OSSブログ / OpenSSLの脆弱性[CVE-2015-0291]と[CVE-2015-0204]について

OpenSSLの脆弱性[CVE-2015-0291]と[CVE-2015-0204]について

OpenSSLにて深刻度「高」の脆弱性情報が公開されましたので、概要及び各ディストリビューターのアップデートパッケージ提供状況を掲載していきます。

3月16日にopenssl-announceのメーリングリストにてOpenSSLの脆弱性について予告がありましたが、19日に脆弱性情報が公開されました。詳しい内容は下記情報をご確認ください。
https://www.openssl.org/news/secadv_20150319.txt

今回公開された脆弱性は14件、その中で深刻度「高」の対象となるCVEは「CVE-2015-0291」「CVE-2015-0204」の2つとなります。今回は重要度「高」に指定されている脆弱性についてご案内をします。

CVE-2015-0291はリモートの攻撃者が再ネゴシエーションの際にClientHelloメッセージに無効なsignature_algorithms拡張機能を使用して、サービスの妨害(NULLポインタ参照とデーモンクラッシュ)を引き起こすことができます。対象は OpenSSL 1.0.2 のみとなりますので、対象のパッケージをご利用の際はアップデートをご検討ください。

Red Hat Enterprise Linux7および6は OpenSSL 1.0.1e 、SUSE Linux Enterprise Server 12 は OpenSSL 1.0.1i 、SUSE Linux Enterprise Server 11 は OpenSSL 0.9.8j をベースにしているため、CVE-2015-0291 の対象からは外れるようです。

次にCVE-2015-0204は、1月8日にOpenSSLプロジェクトが発表した時点では深刻度「低」のに分類されていましたが、最近の研究でRSA export 暗号スイートが一般的であるということが証明されたことを受け、深刻度「高」に変更されました。本問題は1月にアップデートパッケージが公開されていますので、すでに適用済みであれば影響をうけません。ご利用のシステムのアップデートの状況をご確認ください。

Red Hat Enterprise Linux

https://rhn.redhat.com/errata/RHSA-2015-0066.html

SUSE Linux Enterprise Server
https://www.suse.com/security/cve/CVE-2015-0204.html

Oracle Linux
http://www.oracle.com/technetwork/topics/security/bulletinjan2015-2370101.html

そのほか12個の脆弱性についても、ご利用のシステムが影響を受けないかご確認いただきまして、適切にアップデートを行ってください。

【参考】Red Hat [OpenSSL アップデート (2015 年 3 月 19 日時点)]

https://access.redhat.com/ja/articles/1386513

サイオス OSSよろず相談室のご案内

OSSよろず相談室をご契約いただきますと、脆弱性問題のご相談などもお受けしております。脆弱性問題の影響度の有無の判断にお困りの際はこちらからご相談ください。

Yorozubanner

サイオスOSSよろず相談室

サイオスOSSよろず相談室(1)

問い合わせボタン