NetBSD Security Advisory 2004-005 ================================= トピック: OpenSSL におけるサービス妨害を可能にするセキュリティー上の弱点 (Denial of service vulnerabilities in OpenSSL) バージョン: NetBSD-current: 2004 年 3 月 22 日より前のソース NetBSD 2.0: 影響なし。リリース版にも修正が含まれる予定。 NetBSD 1.6.2: 影響あり NetBSD 1.6.1: 影響あり NetBSD 1.6: 影響あり NetBSD 1.5.3: 影響あり NetBSD 1.5.2: 影響あり NetBSD 1.5.1: 影響あり NetBSD 1.5: 影響あり pkgsrc: バージョン 0.9.6m より前の security/openssl パッケージ 影響範囲: アプリケーションによっては、サービス妨害が可能 (Possible denial of service, depending on the application) 修正日: NetBSD-current: 2004 年 3 月 22 日 NetBSD-1.6 branch: 2004 年 4 月 2 日 (1.6.3 には修正が含まれる予定) NetBSD-1.5 branch: 2004 年 4 月 7 日 pkgsrc: openssl-0.9.6m において修正ずみ 概要 - Abstract =============== このセキュリティー勧告では、2 種類の異なるサービス妨害を実現する弱点について 解説します。 1. SSL ハンドシェイク処理における、無効ポインターに対する代入 OpenSSL ライブラリーを使ったサーバーに対して、特殊な細工を施した SSL/TLS ハンドシェイクをおこなうことで、サーバーをクラッシュさせる ことができる可能性があります。そのアプリケーションが OpenSSL ライブラリーをどのように使っているのかにもよりますが、 これはサービス妨害の原因となります。 2. Kerberos ciphersuites に影響する境界チェックの不備 SSL/TLS ハンドシェイクにはもうひとつ、サーバーが Kerberos ciphersuites を使うように設定されている場合に、サーバーをクラッシュすることのできる 弱点が含まれています。これは、攻撃者が特殊な順序でパケットを 送ることで実現されるものです。 回避方法と解決策 - Solutions and Workarounds ============================================ 次に示す手順は、ソースツリーを更新して libcrypto と libssl ライブラリーを再構築し、 新しいバージョンのライブラリーをインストールすることで、libcrypto と libssl を アップグレードする方法を説明したものです。 * NetBSD-current: 2004 年 3 月 22 日より前の NetBSD-current は、 2004 年 3 月 23 日、もしくはそれ以降の NetBSD-current に アップグレードする必要があります。 CVS ブランチ netbsd-current (別名 HEAD) において 更新が必要なファイルは、次のとおりです。 crypto/dist/openssl CVS を使ってファイルを更新し、libcrypto と libssl を 再構築・再インストールするには、次のコマンドを実行してください。 # cd src # cvs update -d -P crypto/dist/openssl # cd lib/libcrypto # make USETOOLS=no cleandir dependall # make USETOOLS=no install # cd ../../lib/libssl # make USETOOLS=no cleandir dependall # make USETOOLS=no install * NetBSD 1.6, 1.6.1, 1.6.2: NetBSD 1.6, NetBSD 1.6.1, NetBSD 1.6.2 のバイナリー配布物には、この セキュリティー上の弱点が含まれています。 2004 年 4 月 2 日より前の NetBSD 1.6 のソースは、 2004 年 4 月 3 日、もしくはそれ以降の NetBSD 1.6 のソースに アップグレードする必要があります。 NetBSD 1.6.3 には、この弱点に対する修正が含まれる予定です。 CVS ブランチ netbsd-1-6 において更新が必要なファイルは、 次のとおりです。 crypto/dist/openssl CVS を使ってファイルを更新し、libcrypto と libssl を 再構築・再インストールするには、次のコマンドを実行してください。 # cd src # cvs update -d -P -r netbsd-1-6 crypto/dist/openssl # cd lib/libcrypto # make cleandir dependall # make install # cd ../../lib/libssl # make USETOOLS=no cleandir dependall # make USETOOLS=no install * NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3: NetBSD 1.5 から NetBSD 1.5.3 までのバイナリー配布物には、 このセキュリティー上の弱点が含まれています。 2004 年 4 月 7 日より前の NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3 のソースは、 2004 年 4 月 8 日、もしくはそれ以降の NetBSD 1.5 のソースに アップグレードする必要があります。 CVS ブランチ netbsd-1-5 において更新が必要なファイルは、 次のとおりです。 crypto/dist/openssl CVS を使ってファイルを更新し、libcrypto と libssl を 再構築・再インストールするには、次のコマンドを実行してください。 # cd src # cvs update -d -P -r netbsd-1-5 crypto/dist/openssl # cd lib/libcrypto # make cleandir dependall # make install # cd ../../lib/libssl # make cleandir dependall # make install 改訂履歴 - Revision History =========================== 2004-04-21 初版公開 2004-04-25 1-6 の libcrypto では USETOOLS=no が 必要になることを注記。 詳細と参考資料 - More Information ================================= 新しい情報が判明した場合、セキュリティー勧告は更新されることがあります。 PGP 署名されたこの勧告の最新版は、次の場所から入手できます。 ftp://ftp.NetBSD.org/pub/NetBSD/security/advisories/NetBSD-SA2004-005.txt.asc NetBSD および NetBSD のセキュリティーに関する情報は、次の場所から入手できます。 http://www.NetBSD.org/ http://www.NetBSD.org/Security/ Copyright 2004, The NetBSD Foundation, Inc. All Rights Reserved. Redistribution permitted only in full, unmodified form. $NetBSD: NetBSD-SA2004-005.txt,v 1.4 2004/04/25 14:07:58 david Exp $ $Id$