Debian セキュリティ勧告

DSA-136-1 openssl -- リモートからの複数種類の攻撃

報告日時:

2002-07-30

影響を受けるパッケージ:

危険性:

あり

参考セキュリティデータベース:

(SecurityFocus の) Bugtraq データベース: BugTraq ID 5362, BugTraq ID 5363, BugTraq ID 5366, BugTraq ID 5353, BugTraq ID 5364, BugTraq ID 5361.
Mitre の CVE 辞書: CVE-2002-0655, CVE-2002-0656, CVE-2002-0657, CVE-2002-0659.
CERT の脆弱性リスト、勧告および付加情報: CA-2002-23, CA-2002-27.

詳細:

OpenSSL 開発チームは、 DAPRA CHATS プログラム下における A.L. Digital 社と The Bunker 社のセキュリティ監査により、 OpenSSL コードにリモートから攻撃可能なバッファオーバーフローを起こす箇所が発見されたとのアナウンスを出しました。加えて、上記とは独立に、Adi Stav さんと James Yonan さんによって OpenSSL のASN1 パーザに潜在的な DoS 攻撃に対する脆弱性が発見されました。

CAN-2002-0655 には、64ビットプラットフォームでの ASCII の整数表現を保持するのに使われるバッファでのオーバーフローについて記載されています。また、CAN-2002-0656 には、SSL2 サーバの実装 (サーバに不正な鍵を送った場合) と、SSL3 クライアントの実装 (巨大なセッション ID をクライアントに送った場合) のバッファオーバーフローの問題が記載されています。 SSL2 のほうの問題は、Neohapsis によっても報告されており、この問題に対する攻撃コードのデモを非公開で行っています。 CAN-2002-0659 には、ANS1 パーザの DoS 問題が記載されています。

これらの脆弱性は、Debian 3.0 (woody) で、それぞれ openssl094_0.9.4-6.woody.2、openssl095_0.9.5a-6.woody.1、 openssl_0.9.6c-2.woody.1 の各バージョンで修正されています。

この脆弱性は Debian 2.2 (potato) にもあります。 openssl094_0.9.4-6.potato.2 と openssl_0.9.6c-0.potato.4 で修正されています。

インターネットに接続されたホストにおけるこの脆弱性を探して、ワームが活動中です。OpenSSL をできるだけ早くアップグレードすることをお勧めします。SSL を使う全てのデーモン (例えば ssh や、ssl を有効にした apache など) を再起動しないといけないことに注意してください。どのプログラムが SSL を使用しているか分からないときは、リブートして、実行中の全てのデーモンが確実に新しいライブラリを用いるようにするのもよいでしょう。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4.dsc; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4.diff.gz; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.potato.2.dsc; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.potato.2.diff.gz; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/pool/updates/main/o/openssl/ssleay_0.9.6c-0.potato.3_all.deb
Alpha:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4_alpha.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.4_alpha.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.4_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.4_arm.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.4_arm.deb; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.4_i386.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.4_i386.deb; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4_i386.deb; http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.potato.2_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4_m68k.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.4_m68k.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.4_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4_powerpc.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.4_powerpc.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.4_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-0.potato.4_sparc.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-0.potato.4_sparc.deb; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-0.potato.4_sparc.deb

Debian GNU/Linux 3.0 (woody)

ソース:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1.dsc; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1.diff.gz; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c.orig.tar.gz; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.2.dsc; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4-6.woody.2.diff.gz; http://security.debian.org/pool/updates/main/o/openssl094/openssl094_0.9.4.orig.tar.gz; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.1.dsc; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a-6.woody.1.diff.gz; http://security.debian.org/pool/updates/main/o/openssl095/openssl095_0.9.5a.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_alpha.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_alpha.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_alpha.deb
HP Precision:: http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_hppa.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_hppa.deb; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_hppa.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_i386.deb; http://security.debian.org/pool/updates/main/o/openssl095/libssl095a_0.9.5a-6.woody.1_i386.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_i386.deb; http://security.debian.org/pool/updates/main/o/openssl094/libssl09_0.9.4-6.woody.1_i386.deb; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_ia64.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_ia64.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_ia64.deb
Motorola 680x0: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_m68k.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_m68k.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_mips.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_mips.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_mipsel.deb; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_mipsel.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_powerpc.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_powerpc.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_powerpc.deb
s390 (IBM S/390):: http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.0_s390.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.0_s390.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.0_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/o/openssl/libssl0.9.6_0.9.6c-2.woody.1_sparc.deb; http://security.debian.org/pool/updates/main/o/openssl/libssl-dev_0.9.6c-2.woody.1_sparc.deb; http://security.debian.org/pool/updates/main/o/openssl/openssl_0.9.6c-2.woody.1_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。

一覧にあるファイルの MD5 チェックサムは勧告の原文 (改訂版) にあります。