|
OSA-2003-8
1 サマリ
2 詳細
ARMA 2.0/2.1 に含まれる openssl に、時間計測に基づく新たな SSL/TLS 攻撃への脆弱性が発見されました。
この攻撃は、パスワードのような共通の plaintext block を含む複数の SSL/TLS コネクションに対し、特殊な暗号ブロックを送信し、拒否(refuse/abort)に至る時間がエラー内容によって異なることを利用して行われるもので、最終的には完全な plaintext block を攻撃者に取得されてしてしまう可能性があります。(従って高速で均質なネットワークほど危険性が高くなるものと推測されます)
ARMA ではこの問題を openssl 0.9.6g-6o101 パッケージで修正いたしました。より詳しい情報については以下の文書をご参照ください。
|
|
「OpenSSL Security Advisory [19 February 2003]」
|
|
この問題は Brice Canvel 氏(EPFL), Alain Hiltgen氏 (UBS), Serge Vaudenay氏 (EPFL), Martin Vuagnoux氏 (EPFL, Ilion) らの論文で発表されるとのことです。
3 対処方法
OpenSSL のライブラリ(libssl)は Apache/PostgreSQL/proftpd をはじめとして広範に使用されています。パッケージのアップデートを行った後、OpneSSL を利用するすべてのアプリケーションを再起動してください。
root ユーザーで以下のコマンドを実行することでパッケージのアップデートを行います。
|
# apt-get update
|
# apt-get install openssl-ogl ssleay libssl-dev libssl0.9.6 openssl
|
|
|
root ユーザーで以下のコマンドを実行することですべてのアプリケーションを停止させた後、デーモンの再起動を行います。
| |
|
|