JSOC緊急レポート(システム管理者向け)- OpenSSLに発見された複数の脆弱性について -

OpenSSLに発見されたサービス不能状態(DoS)や悪意のあるコードの実行が引き起こされる可能性のある複数の脆弱性に関する概要、対策などをまとめたシステム管理者向けのレポートです。
株式会社ラック
公開日:2003年10月 1日 16:00
最終更新日:----年--月--日 --:--
 
JSOC 緊急レポート(システム管理者向け)
 - OpenSSL に発見された複数の脆弱性について -
 
 
1. 概要
 
OpenSSL にサービス不能状態 (DoS) および悪意のあるコードが実行される可能性のある脆弱性が報告されました。
 
a.【OpenSSL 0.9.6 系および OpenSSL 0.9.7 系】
long form を使用しているサーバに、不正な ASN.1 タグ値を持つ SSLクライアント証明書を送信することで、境界を越えて読み取りが実行される。そのため、リモートからサーバをサービス不能状態に陥らせることできる可能性がある。
 
b.【OpenSSL 0.9.6 系および OpenSSL 0.9.7 系】
認証情報に無効な公開鍵が含まれている場合、全てのエラーが無視されるように設定されていると検証コードが壊れ、結果としてサービス不能状態に陥る可能性がある。
 
c.【OpenSSL 0.9.7 系のみ】
解析プログラムが ASN.1 構造体を無効として拒否した場合、該当する構造体の一部が正しく開放されない。そのため、リモートからのサービス不能攻撃や、任意のコードの実行ができる可能性がある。
 
本問題を修正した最新版のOpenSSLが既に公開されております。対策を実施していないサーバは、直ちに対策を施すことをお勧め致します。
 
 
2. 影響を受けるソフトウェア
 
  • OpenSSL 0.9.6j 以下のバージョン
  • OpenSSL 0.9.7b 以下のバージョン
  • 上記バージョンの OpenSSL のライブラリを使用するソフトウェア(apache+sslやmod_ssl など)
 
3. 見解
 
本問題を利用することにより、WebサーバへのDoS攻撃が行われる可能性があります。また、こちらは未詳ではありますが、Webサーバ上で悪意あるコードを実行できる可能性もあります。
 
OpenSSLは数多くのアプリケーションで利用されており、本問題の影響範囲は非常に広いものになると考えられます。特に、HTTPSを利用してインターネットに Webサーバを公開している Web サイトは注意が必要です。apache+sslやmod_sslを利用してWebサイトを構築している場合、本問題の影響をうける可能性があります。
 
また、組み込み機器でOpenSSLを利用している機器等も影響を受ける可能性がありますので、ご確認頂くことをお勧めします。
 
JSOCの傾向分析レポート vol.1では、今年の前半はOpenSSLの脆弱性が狙われる傾向にあったことが示されました。本問題を利用した攻撃も、攻撃に悪用される可能性は十分あり、今後も注意が必要であると考えられます。
 
◎侵入傾向分析レポート Vol.1:
http://www.lac.co.jp/info/jsoc_report.html
 
 
4. 対策
 
本問題が修正された最新バージョンのOpenSSLが公開されています。最新バージョンへアップグレードしてください。
 
■openssl-0.9.7c
ftp://ftp.openssl.org/source/openssl-0.9.7c.tar.gz
http://www.openssl.org/source/openssl-0.9.7c.tar.gz
 
■openssl-0.9.6k
ftp://ftp.openssl.org/source/openssl-0.9.6k.tar.gz
http://www.openssl.org/source/openssl-0.9.6k.tar.gz
 
また、問題を抱えるバージョンのOpenSSLライブラリを静的リンクしているソフトウェアは、最新バージョンのOpenSSLを導入後、該当ソフトウェアを再コンパイルする必要があります。
 
 
5. 関連情報
 
この脆弱性に関する関連情報は以下のURLで公開されています。
 
  • OpenSSL Security Advisory
    http://www.openssl.org/news/secadv_20030930.txt
     
  • NISCC Vulnerability Advisory 006489/OpenSSL
    http://www.uniras.gov.uk/vuls/2003/006489/openssl.htm
     
  • VU#380864 OpenSSL does not securely handle ASN.1 tags in client certificate messages (2)
    http://www.kb.cert.org/vuls/id/380864
     
  • VU#935264 OpenSSL ASN.1 parser insecure free()
    http://www.kb.cert.org/vuls/id/935264
     
  • CONECTIVA LINUX SECURITY ANNOUNCEMENT
    http://www.linuxsecurity.com/advisories/other_advisory-2265.html

 

サイトガイド

トピックス

セキュリティ情報

教育・資格取得

セキュリティアカデミー

サービス&製品

コンサルティングサービス

構築サービス

監視・運用

取り扱いセキュリティ製品

緊急対応/フォレンジック調査
[サイバー119]

企業情報

採用情報

お問い合わせ

営業統括部
03-6757-0113(9:00-17:30)
sales@lac.co.jp
[QRコード]

このページの先頭へ

リファレンス

お問い合わせ・資料請求

営業統括部:03-6757-0113(営業時間 平日9:00~17:30)、sales@lac.co.jp

カテゴリ内メニュー

  • JSOC REPORT

スペシャルリンク

  • Webサイト無料チェックツール SecureSite Checker Free
  • LACメルマガの登録
  • WAF24+導入事例理化学研究所