OpenSSL開発チームは、
セキュリティアドバイザリをリリースしました。これは、OpenSSLの9つの新しい脆弱性について説明しており、更新することを強くお勧めします。
- バージョン0.9.8zbまでのOpenSSL 0.9.8ユーザー
- バージョン1.0.0nまでのOpenSSL 1.0.0ユーザー
- バージョン1.0.1iまでのOpenSSL 1.0.1ユーザー
修正された脆弱性:
- プリティ印刷機能での情報漏えい(CVE-2014-3508) -「美しい」出力機能を使用すると、スタックからの情報漏えいにつながります。
- サーバーHelloメッセージのSRP暗号スイートでクラッシュ(CVE-2014-5139) -サーバーがSRP暗号スイートを使用している場合、クライアントがクラッシュします(nullポインターの参照解除による)。
- ssl_parse_serverhello_tlsextの競合状態(CVE-2014-3509) -攻撃者のサーバーはクライアントに最大255バイトを書き込むことができます。
- DTLSパケットの処理時にダブルフリー(CVE-2014-3505) -サーバーが特別に細工されたDTLSパケットを送信すると、クライアントがクラッシュします。
- DTLSメモリの枯渇(CVE-2014-3506)-DTLSパケットを処理する際のメモリ消費の増加につながります。
- 長さゼロのフラグメントからのDTLSメモリリーク(CVE-2014-3507) -特別に形成されたDTLSパケットを送信するときにメモリリークが発生します。
- OpenSSL DTLS匿名EC(DH)サービス拒否(CVE-2014-3510) -サーバーが匿名EC(DH)を使用し、特別な方法でハンドシェイクを送信すると、クライアントがクラッシュします。
- OpenSSL TLSプロトコルダウングレード攻撃(CVE-2014-3511) -TLS 1.0 MiTM攻撃者へのダウングレード接続を許可します。
- SRPバッファーオーバーラン(CVE-2014-3512) -内部SRP処理バッファーをオーバーフローさせることができます。
システムでパッケージ分割が使用されている場合は、
openssl自体だけでなく、必ず
libsslを更新してください。
当然、opensslを使用するアプリケーションは再起動する必要があります。 Debianをお持ちの場合、debian-goodiesの「checkrestart」ユーティリティを使用できます。