DebianやUbuntuのOpenSSLに予測可能な乱数を生成してしまう脆弱性

【2008年5月16日】

Wikipedia
Wikipedia
ウィキペディアOpenSSLに関する記事があります。

US-CERTや、Secunia、Debian ProjectITmediaによると、DebianUbuntuOpenSSLパッケージなどの脆弱性を解消したパッケージが公開された。この脆弱性は、生成する乱数が予測可能になることにより、その乱数を使って生成するの材料が予測可能となる。[1][2][3][4][5]

Secuniaは、この問題の危険度を5段階で2番目に高い危険度 (Highly Critical) だと評価している。[2]

Debian Projectによると、この脆弱性は、OpenSSL自身の問題ではなく、CVE-2008-0166の修正をDebian Projectが行った修正が原因で、Debianから派生したUbuntuなどのディストリビューションにも影響がある。また、この脆弱性をもつシステムで生成した鍵を他のOSにインポートした場合にも問題がある。[3]

影響を受ける鍵は次のとおり。[3]

これらに関して、脆弱性を修正したパッケージをインストールした後で、鍵を作り直す必要がある。[3]

ITmediaが報じたところによると、SANS Internet Storm Centerによれば、この脆弱性を使ってブルートフォース攻撃を行うスクリプトが公開されているという。[6]

出典

編集
  1. "US-CERT Current Activity: Debian and Ubuntu OpenSSL and OpenSSH Vulnerabilities"US-CERT、2008年5月15日 (UTC-4)。
  2. 2.0 2.1 "Debian OpenSSL Predictable Random Number Generator and Update - Advisories - Secunia"Secunia、2008年5月13日 (UTC±0)。
  3. 3.0 3.1 3.2 3.3 Debian -- セキュリティ情報 -- DSA-1571-1 openssl』 — Debianプロジェクト, 2008年5月13日 (UTC)
  4. Debian -- セキュリティ情報 -- DSA-1576-1 openssh』 — Debianプロジェクト, 2008年5月14日 (UTC)
  5. DebianのOpenSSLライブラリに予測可能な乱数の生成を行う脆弱性 - ITmedia エンタープライズ』 — ITmedia, 2008年5月15日9時2分 (UTC+9)
  6. OpenSSLの脆弱性突くブルートフォース攻撃発生、簡単に暗号解読の恐れ - ITmedia News』 — ITmedia, 2008年05月16日8時36分 (UTC+9)

外部リンク

編集