ARMA
           ARMA Net           製品とサポート           通信販売           会社概要           求人情報       
ARMA 3.0

ARMA 3.0 マニュアル

プレインストール PC

個人・小規模サイト
向けサポート
(パッケージ付属)


よくいただくお問い
合わせについて


対応ハードウェア情報

法人向け各種サービス

 OSA-2003-8
 
 
 1 サマリ
 
 
 
 
対象システム
ARMA2.0,ARMA2.1
 
 
 
パッケージ
openssl
 
 
 
概要
時間計測に基づく SSL/TLS 攻撃への対応
 
 
 
危険度
3
 
 
 
 
 2 詳細
 
 ARMA 2.0/2.1 に含まれる openssl に、時間計測に基づく新たな SSL/TLS 攻撃への脆弱性が発見されました。
 この攻撃は、パスワードのような共通の plaintext block を含む複数の SSL/TLS コネクションに対し、特殊な暗号ブロックを送信し、拒否(refuse/abort)に至る時間がエラー内容によって異なることを利用して行われるもので、最終的には完全な plaintext block を攻撃者に取得されてしてしまう可能性があります。(従って高速で均質なネットワークほど危険性が高くなるものと推測されます)
 ARMA ではこの問題を openssl 0.9.6g-6o101 パッケージで修正いたしました。より詳しい情報については以下の文書をご参照ください。
 
 
「OpenSSL Security Advisory [19 February 2003]」
 
 
 
 この問題は Brice Canvel 氏(EPFL), Alain Hiltgen氏 (UBS), Serge Vaudenay氏 (EPFL), Martin Vuagnoux氏 (EPFL, Ilion) らの論文で発表されるとのことです。
 
 
 3 対処方法
 
 OpenSSL のライブラリ(libssl)は Apache/PostgreSQL/proftpd をはじめとして広範に使用されています。パッケージのアップデートを行った後、OpneSSL を利用するすべてのアプリケーションを再起動してください。
 root ユーザーで以下のコマンドを実行することでパッケージのアップデートを行います。
 
 
# apt-get update
# apt-get install openssl-ogl ssleay libssl-dev libssl0.9.6 openssl
 
 
 root ユーザーで以下のコマンドを実行することですべてのアプリケーションを停止させた後、デーモンの再起動を行います。
 
 
# init 1
# init 2
 
 
 
 

COPYRIGHT (C)2018, オモイカネ株式会社 (Omoikane Inc.)
E-mail: info@omoikane.co.jp