Medium
Medium
日本語による情報は、英語による原文の非公式な翻訳であり、英語原文との間で内容の齟齬がある場合には、英語原文が優先します。
概要
OpenSSLには、認証されていないリモートの攻撃者がセキュリティ制限をバイパスできる可能性のある脆弱性が存在します。
1つ目の脆弱性(CVE-2005-2969)は、OpenSSLバージョン0.9.7g以前で提供されるSL/TLSサーバ実装を使用するアプリケーションに影響を与えます。 これらの実装でサードパーティのバグを軽減するオプションが有効になっている場合、中間者攻撃を実行するリモートの攻撃者は、ホスト間の接続でSSLプロトコルの2.0バージョンを使用するように強制する可能性があります。 SSL 2.0プロトコルには既知の暗号上の弱点があります。
2つ目の脆弱性(CVE-2005-2946)は、0.9.8aより前のOpenSSLバージョンのデフォルト設定に存在します。 この設定では、MD5を使用してメッセージダイジェストが作成されます。暗号化アルゴリズムの弱点により、リモート攻撃者が有効な認証局の署名を使用して証明書を偽造できる可能性があります。
OpenSSLは、セキュリティアドバイザリでこの脆弱性を確認し、アップデートをリリースしました。
中間者攻撃ベクトルのため、攻撃者がこれらの脆弱性を悪用する可能性は低くなります。 このような攻撃は、2台のホスト間のトラフィックをリアルタイムで傍受および変更する必要があるため、実行が非常に困難です。 中間者攻撃は通常、顧客とサービスプロバイダー間のデバイスまたは接続に物理的にアクセスできる攻撃者だけが使用できます。
最近、MD5アルゴリズムの弱点に関するデモンストレーションが数多く行われました。 MD5は技術的には故障していますが、安全ではありません。 攻撃者が偽の証明書の署名に使用するMD5コリジョンを正常に作成できる可能性はほとんどありません。
管理者は、これらの問題に特に注意を払う必要はありません。 管理者は、更新されたバージョンの完全なテストが完了するまで、実稼働システムの更新を待つことを検討できます。 これらの問題が懸念される場合、管理者はIE 3.x互換性フラグの削除を検討できます。
該当製品
OpenSSLは次のリンクでセキュリティアドバイザリをリリースしました。secadv_20051011
Appleは次のリンクでセキュリティに関する発表を行っています。Security Update 2005-009Astaroは、Up2Date 4.029、Up2Date 5.208、およびUp2Date 6.101の各リンクでセキュリティアナウンスメントをリリースしています。
Avayaは、ASA-2006-031およびASA-2006-260でセキュリティアドバイザリをリリースしました。
Blue Coatは次のリンクでセキュリティアドバイザリをリリースしました。 Blue Coat Security Advisory
シスコは、Cisco Bug ID CSCsc27533、CSCej54402、CSCsc48330、CSCsc33835、CSCsc58356、およびCSCek01123に対応するセキュリティ応答を次のリンクでリリースしています。68324
Debianは次のリンクでセキュリティアドバイザリをリリースしています: DSA-875-1、DSA-881-1、DSA-882-1、およびDSA-888-1
FreeBSDは次のFTPリンクでセキュリティ勧告を公開しています: FreeBSD-SA-05:21.openssl
Gentooは次のリンクでセキュリティアドバイザリをリリースしました: GLSA 200510-11
HPはFTPリンクHPで該当製品のリストをPDF形式で公開しています。 HPはHPSBUX02174およびHPSBUX02186のリンクでセキュリティアドバイザリをリリースしています。
日立製作所は、HS06-022-01およびHS07-016でセキュリティアドバイザリをリリースしました。
IBMは次のリンクで脆弱性の説明を公開しています。
SSRVHMCHMC_C081516_474
SSRVHMCHMC_C081516_604
SSRVHMCHMC_C081516_754
Juniperは次のリンクでセキュリティ情報をリリースしました:PSN-2005-12-025
Mandrivaは次のリンクでセキュリティアドバイザリをリリースしました: MDKSA-2005:179
NetBSDは次のFTPリンクでセキュリティアドバイザリをリリースしました:NetBSD-SA2005-010
OpenPKGは次のリンクでセキュリティアドバイザリをリリースしています。OpenPKG-SA-2005.022
Red Hatはセキュリティアドバイザリを次のリンクで公開しています。RHSA-2005:800、RHSA-2005:882、RHSA-2008:0264、RHSA-2008:0525、 RHSA-2008:0629
SCOグループは、次のFTPリンクでセキュリティアドバイザリをリリースしました:SCOSA-2005.48
SGIは次のFTPリンクでセキュリティアドバイザリをリリースしました:20051003-01-U
Slackwareは次のリンクでセキュリティアドバイザリをリリースしました: SSA:2005-286-01
Sunは次のリンクでアラート通知を再リリースしました。201126
SUSEは次のリンクでセキュリティアナウンスメントをリリースしています。SUSE-SA:2005:061
Trustixは次のリンクでセキュリティアドバイザリをリリースしました:TSLSA-2005-0057およびTSLSA-2005-0059
脆弱性のある製品
OpenSSLバージョン0.9.7h以前を実行しているシステムには脆弱性が存在します。
脆弱性を含んでいないことが確認された製品
回避策
適切なアップデートを適用することを推奨します。
管理者は、OpenSSLアプリケーションでSSLプロトコルの2.0バージョンを無効にすることを推奨します。
管理者は、SSLロールバックの脆弱性を軽減するために、影響を受けるフラグの削除を検討できます。
修正済みソフトウェア
OpenSSLは次のリンクでパッチをリリースしました:patch-CAN-2005-2969.txt
最新バージョンは、次のリンク先で入手できます。OpenSSL 0.9.7hまたは0.9.8a
Appleは次のリンクでアップデートをリリースしています。
Mac OS X 10.3.9クライアント
Mac OS X 10.3.9サーバ
Mac OS X 10.4.3クライアント
Mac OS X 10.4.3サーバ
AstaroはAstaro Security Linux用の更新パッケージをAstaro 5.208およびAstaro 6.101のFTPリンクからリリースしました。ユーザはup2dateコマンドを発行して最新のパッケージを入手することもできます。
Blue Coatは、登録ユーザ向けのアップデートを次のリンクでリリースしました。Blue Coat
契約が有効なシスコのお客様は、CiscoのSoftware Centerからアップデートを入手できます。契約をご利用でないお客様は、1-800-553-2447または1-408-526-7209のCisco Technical Assistance Center(TAC)に連絡するか、tac@cisco.comのEメールでアップグレードを入手できます。
Debianは次のリンクで更新されたパッケージをリリースしています: Debian 3.0 (openssl094)、Debian 3.0 (openssl095)、Debian 3.1 (openssl096)、Debian 3.0/3.1 (openssl096c)
FreeBSDはFTPリンクopenssl.patchでパッチをリリースしました。
emergeコマンドを使用すると、次のパッケージのGentooのアップデートを入手できます。dev-libs/openssl
HPは次のリンクで更新されたHTTPサーバのバージョンをリリースしています:HP HTTP Server 5.97。HPは次のリンクでHP-UX用の更新されたパッケージをリリースしています。
HP-UX 11.11
リビジョンA.00.09.07l以降HP-UX 11.23
Revision A.00.09.07l.001またはそれ以降
Hitachiは、通常のHitachiサポート・チャネルを通じてアップデートを提供しています。
IBMは次のアップデートをリリースしました。
Juniperは、登録ユーザ向けのIVE OSの更新バージョンを次のリンクでリリースしました。IVE OS Software
MandrivaはMandrivaUpdateを使用して自動的に更新できます。
NetBSDは次のFTPリンクで更新されたパッケージをリリースしました: NetBSD
OpenPKGは次のFTPリンクで更新されたパッケージをリリースしています。
OpenPKG 2.3 - openssl-0.9.7e-2.3.3
OpenPKG 2.4:openssl-0.9.7g-2.4.2
Red Hatパッケージは、up2dateまたはyumコマンドを使用して更新できます。
SCOグループは、FTPリンクopenssl-0.9.7i.imageで更新パッケージをリリースしました。
SGIは、次のリンクで登録ユーザ向けのProPack 3 Service Pack 6のパッチをリリースしました。パッチ10235
Slackwareパッケージは、upgradepkgコマンドを使用して更新できます。
Sunは次のリンクでパッチをリリースしています。
SPARC
Solaris 10:120011-14Intel
Solaris 10:127128-11
SUSEはアップデート済みパッケージをリリースしています。ユーザはYaSTを使用してアップデートをインストールできます。
Trustix製品は、swup —upgradeコマンドを使用して更新できます。
Ubuntuは更新されたパッケージをリリースしました。ユーザーはUpdate Managerを使用して更新プログラムをインストールできます。
推奨事項
不正利用事例と公式発表
Cisco Product Security Incident Response Team(PSIRT)は、本アドバイザリに記載されている脆弱性の不正利用事例やその公表を確認していません。
URL
改訂履歴
| バージョン | 説明 | セクション | ステータス | 日付 |
| 1.0 | 初版リリース | 適用外 | Final | 2005-Oct-12 |
利用規約
本アドバイザリは無保証のものとしてご提供しており、いかなる種類の保証も示唆するものではありません。 本アドバイザリの情報およびリンクの使用に関する責任の一切はそれらの使用者にあるものとします。 また、シスコは本ドキュメントの内容を予告なしに変更したり、更新したりする権利を有します。
本アドバイザリの記述内容に関して情報配信の URL を省略し、単独の転載や意訳を施した場合、当社が管理した情報とは見なされません。そうした情報は、事実誤認を引き起こしたり、重要な情報が欠落していたりする可能性があります。 このドキュメントの情報は、シスコ製品のエンドユーザを対象としています。