[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: NetBSD Security Advisory 2003-001: Encryption weakness inOpenSSL code



佐藤@東京理科大学と申します。

 NetBSD Security Advisory 2003-001 と 2003-002 の
 日本語版をつくりましたので、お送りします。

--
| 佐藤 広生@東京理科大学 <hrs@eos.ocn.ne.jp>
|                         <hrs@FreeBSD.org> (FreeBSD Project)
私家版 NetBSD セキュリティ勧告 日本語訳
=============================================================================
NetBSD Security Advisory 2003-001 (2003/03/04)
 * Encryption weakness in OpenSSL code
=============================================================================

 このメールは, current-users に流れた

  Subject: NetBSD Security Advisory 2003-001: Encryption weakness in OpenSSL code
  From: NetBSD Security Officer <security-officer@netbsd.org>
  Date: Tue,  4 Mar 2003 01:32:28 -0500 (EST)
  Message-Id: <20030304063228.831A06E08C@hastur.home>

 を日本語訳したものです. 

 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. 
 修正パッチ等の内容が改竄されていないことを確認するために PGP 署名の
 チェックを行なうには, 原文を参照してください. 

 日本語訳の詳細については, 文末の「A. 私家版 NetBSD セキュリティ勧告
 日本語訳について」をご覧ください.


                                     [翻訳者: 佐藤 広生 <hrs@jp.FreeBSD.org>]

--(ここから)-----------------------------------------------------------------

		 NetBSD Security Advisory 2003-001
		 =================================

トピック:	OpenSSL コードに含まれる暗号の弱点
                (Encryption weakness in OpenSSL code)

バージョン:	NetBSD-current:	 2003 年 2 月 21 日より前のソース
		NetBSD-1.6.1:	 影響なし
		NetBSD-1.6:	 影響あり
		NetBSD-1.5.3:	 影響あり
		NetBSD-1.5.2:	 影響あり
		NetBSD-1.5.1:	 影響あり
		NetBSD-1.5:	 影響あり
		NetBSD-1.4*:	 影響なし
		pkgsrc:		 openssl-0.9.6gnb1 より前のものが影響あり。

影響範囲:	暗号鍵が不正使用される危険性がある。
                (Cryptographic keys can be compromised.)

修正日:		NetBSD-current:		2003 年 2 月 21 日
		NetBSD-1.6 ブランチ:	2003 年 2 月 21 日 (1.6.1 は修正ずみ)
		NetBSD-1.5 ブランチ:	2003 年 2 月 27 日
		pkgsrc:			openssl-0.9.6gnb1 (およびそれ以降)


背景 - Abstract
===============

OpenSSL ライブラリに含まれる SSL/TLS では、ブロック型暗号の
パディングエラーと MAC 検証エラーを異なるエラーとして扱っています。
このことは、不正な SSL ストリームを処理する際に「そのストリームが
どちらのエラーとして処理されるのか」という情報の漏洩を引き起こし、
ある種の適応タイミング攻撃を可能にします。

NetBSD では、SSL/TLS を使うサービスはデフォルトで有効になっていません。
しかし、これらのライブラリを構築してサービスを有効にすると、それは
そのシステムにおいて、暗号鍵の不正使用が可能なセキュリティ上の
弱点となる可能性があります。


技術的な詳細 - Technical Details
================================

http://www.openssl.org/news/secadv_20030219.txt

を参照してください。


回避方法と解決策 - Solutions and Workarounds
============================================

次に示す手順は、ソースツリーを更新して再構築し、新しいバージョンの
libssl をインストールすることで、libssl バイナリをアップグレード
する方法を説明したものです。

アップグレード後には、実行中の libssl ライブラリを使うプログラムを
再起動するのを忘れないようにしてください。

もし、弱点を持った libssl と静的にリンクされたバイナリがある場合は、
それらを再構築する必要があります。

* NetBSD-current:

        2003 年 2 月 21 日より前の NetBSD-current は、
        2003 年 2 月 21 日、もしくはそれ以降の NetBSD-current に
        アップグレードする必要があります。

        CVS ブランチ netbsd-current (別名 HEAD) において
        更新が必要なファイルは、次のとおりです。
		crypto/dist/openssl/ssl/s3_pkt.c

        CVS を使ってファイルを更新し、libssl を
        再構築・再インストールするには、次のコマンドを実行してください。
		# cd src
		# cvs update -d -P crypto/dist/openssl/ssl/s3_pkt.c
		# cd lib/libssl
		# make cleandir dependall
		# make install

        訳注: 原文には s3_pkt.c のファイル名に誤記が含まれていましたが、
              日本語版では修正してあります。
              詳細は current-users に流れた投稿
              <20030304074051.GU29760@old-ones.com> をご覧ください。


* NetBSD 1.6:

        まもなくリリースされる 1.6.1 へのアップグレードをおすすめします。

        ソースを使ってアップグレードする必要がある場合は、
        NetBSD 1.6 ブランチにおける 2003 年 2 月 21 日時点、あるいは
        それ以降のソースを使う必要があります。

        CVS ブランチ netbsd-1-6 において
        更新が必要なファイルは、次のとおりです。
		crypto/dist/openssl/ssl/s3_pkt.c

        CVS を使ってファイルを更新し、libssl を
        再構築・再インストールするには、次のコマンドを実行してください。
		# cd src
		# cvs update -d -P -r netbsd-1-6 \
			crypto/dist/openssl/ssl/s3_pkt.c 
		# cd lib/libssl
		# make cleandir dependall
		# make install


* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:

        2003 年 2 月 27 日より前の NetBSD-1.5.x は、
        2003 年 2 月 27 日、もしくはそれ以降の NetBSD-1.5 ブランチに
        アップグレードする必要があります。

        CVS ブランチ netbsd-1-5 において
        更新が必要なファイルは、次のとおりです。
		crypto/dist/openssl/ssl/s3_pkt.c

        CVS を使ってファイルを更新し、libssl を
        再構築・再インストールするには、次のコマンドを実行してください。
		# cd src
		# cvs update -d -P -r netbsd-1-6 \
			crypto/dist/openssl/ssl/s3_pkt.c
		# cd lib/libssl
		# make cleandir dependall
		# make install


* NetBSD 1.4, 1.4.1, 1.4.2, 1.4.3:

        NetBSD-1.4.* のベースシステムには、OpenSSL が含まれていません。
        pkgsrc からインストールしている場合は、pkgsrc 用の手順に
        従ってください。


* pkgsrc:

        セキュリティ上の弱点は、バージョン 0.9.6gnb1 より前の
        openssl (pkgsrc/security/openssl) に含まれています。
        openssl-0.9.6gnb1 か、もしくはそれ以降のものにアップグレード
        してください。この勧告の執筆時点では、0.9.6gnb1 が pkgsrc に
        含まれています。

        openssl に依存するパッケージは、'pkg_info openssl' を実行することで
        調べることができます。pkgsrc パッケージを更新する方法にもよりますが、
        それで表示されるパッケージのいくつかは、パッケージシステムによって
        再構築されるかも知れません。試験的に用意されている 'make replace'
        ターゲットを使って更新する場合は、libssl.a と静的リンクされた
        バイナリを構築するすべてのパッケージを手動で更新する必要があります。

        pkgsrc に静的にリンクされたバイナリがある場合は、再構築しなければ
        なりません。静的リンクされたバイナリは、次のコマンドを使って
        調べることができます (注: もし LOCALBASE をデフォルトの /usr/pkg から
        変更している場合は、pkgsrc バイナリをインストールしたディレクトリを
        指定に含めるのを忘れないでください)。

                file /usr/pkg/{bin,sbin,libexec}/* | grep static


謝辞 - Thanks To
================

Brice Canvel 氏
Alain Hiltgen 氏
Serge Vaudenay 氏,
Martin Vuagnoux 氏


改訂履歴 - Revision History
===========================

	2003-02-27	初版公開


詳細と参考資料 - More Information
=================================

PGP 署名されたこの勧告の最新版は、次の場所から入手できます。
  ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-001.txt.asc

NetBSD と、NetBSD のセキュリティに関する情報は、次の場所から入手できます。
http://www.NetBSD.ORG/
http://www.NetBSD.ORG/Security/


Copyright 2003, The NetBSD Foundation, Inc.  All Rights Reserved.

$NetBSD: NetBSD-SA2003-001.txt,v 1.4 2003/02/26 21:53:03 wiz Exp $


A.   私家版 NetBSD セキュリティ勧告 日本語訳
============================================

日本語訳は 佐藤 広生 <hrs@jp.FreeBSD.org> が参考のために提供するものです.
その内容についていかなる保証もいたしませんのでご注意ください.

日本語訳についてのご意見, ご要望, お問い合わせ等は
佐藤 広生 <hrs@jp.FreeBSD.org> までお願いします.
私家版 NetBSD セキュリティ勧告 日本語訳
=============================================================================
NetBSD Security Advisory 2003-002 (2003/03/04)
 * Malformed header Sendmail Vulnerability
=============================================================================

 このメールは, current-users に流れた

  Subject: NetBSD Security Advisory 2003-002: Malformed header Sendmail Vulnerability
  From: NetBSD Security Officer <security-officer@netbsd.org>
  Date: Tue,  4 Mar 2003 01:36:31 -0500 (EST)
  Message-Id: <20030304063631.47D046E08C@hastur.home>

 を日本語訳したものです. 

 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. 
 修正パッチ等の内容が改竄されていないことを確認するために PGP 署名の
 チェックを行なうには, 原文を参照してください. 

 日本語訳の詳細については, 文末の「A. 私家版 NetBSD セキュリティ勧告
 日本語訳について」をご覧ください.


                                     [翻訳者: 佐藤 広生 <hrs@jp.FreeBSD.org>]

--(ここから)-----------------------------------------------------------------

		 NetBSD Security Advisory 2003-002
		 =================================

トピック:	不正なヘッダに対する sendmail の弱点
                (Malformed header Sendmail Vulnerability)

バージョン:	NetBSD-current:	2003 年 3 月 4 日より前のソース
		NetBSD 1.6:	影響あり
		NetBSD-1.5.3:	影響あり
		NetBSD-1.5.2:	影響あり
		NetBSD-1.5.1:	影響あり
		NetBSD-1.5:	影響あり
		pkgsrc:		mail/sendmail, mail/sendmail811,
				mail/sendmail88 がいずれも影響あり。

影響範囲:	リモートから root 権限が不正使用される危険性がある。
                (Possible remote root compromise)

修正日:		NetBSD-current:		2003 年 3 月 4 日
		NetBSD-1.6 ブランチ:	2003 年 3 月 4 日 (1.6.1 は修正ずみ)
		NetBSD-1.5 ブランチ:	2003 年 3 月 4 日
		pkgsrc:			mail/sendmail バージョン 8.12.8
					mail/sendmail811 バージョン 8.11.6nb3
					で、それぞれ修正ずみ。現時点では
                                        mail/sendmail88 は修正されていない。


背景 - Abstract
===============

攻撃者は不正な電子メールメッセージを使うことで、リモートから
sendmail デーモンプロセスの権限を不正に獲得できる可能性があります。
通常、sendmail デーモンプロセスの権限は root です。


技術的な詳細 - Technical Details
================================

Internet Security Systems (ISS) は、mail transfer agent (MTA) sendmail に
リモートから悪用可能なセキュリティ上の弱点を発見しました。この弱点は
メッセージを利用します。つまり、インターネットから直接アクセスできない
sendmail デーモンも、攻撃に対する脅威にさらされる危険性があるということです。

また、修正していない sendmail システムの場合、攻撃されたとしても
sendmail のログにはその異常が記録されません。


回避方法と解決策 - Solutions and Workarounds
============================================

sendmail を実行しているサイトは、可能な限り早くアップグレードしましょう。
現時点でアップグレードが不可能な場合は、sendmail サービスを停止させることを
おすすめします。

システム上で sendmail が実行されているかどうか調べるには、
次のコマンドを実行します。

        # /etc/rc.d/sendmail status

現在実行されている sendmail プロセスを停止させるには、次のコマンドを
実行します。

        # /etc/rc.d/sendmail stop

sendmail が次回の再起動時に実行されないようにするには、次のコマンドを
実行します。

	# echo "sendmail=NO" >>/etc/rc.conf.d/sendmail

アップグレードが完了した後、次回の再起動時に実行されるようにするには、
/etc/rc.conf.d/sendmail の最後にある sendmail=NO という行を削除してください。

次に示す手順は、ソースツリーを更新して再構築し、新しいバージョンの
sendmail をインストールすることで、sendmail バイナリをアップグレード
する方法を説明したものです。

* NetBSD-current:

        2003 年 3 月 4 日より前の NetBSD-current は、
        2003 年 3 月 4 日、もしくはそれ以降の NetBSD-current に
        アップグレードする必要があります。

        CVS ブランチ netbsd-current (別名 HEAD) において
        更新が必要なファイルは、次のとおりです。
		src/gnu/dist/sendmail/sendmail

        CVS を使ってファイルを更新し、再構築・再インストールするには、
        次のコマンドを実行してください。
		# cd src
		# cvs update -d -P gnu/dist/sendmail/sendmail
		# cd gnu/usr.sbin/sendmail

		# make USETOOLS=no cleandir dependall
		# cd sendmail
		# make USETOOLS=no install


* NetBSD 1.6:

        2003 年 3 月 4 日より前の NetBSD 1.6 は、
        2003 年 3 月 4 日、もしくはそれ以降の NetBSD 1.6 に
        アップグレードする必要があります。

        NetBSD 1.6.1 には、この弱点に対する修正が含まれる予定です。

        CVS ブランチ netbsd-1-6 において
        更新が必要なファイルは、次のとおりです。
		src/gnu/dist/sendmail/sendmail

        CVS を使ってファイルを更新し、sendmail を
        再構築・再インストールするには、次のコマンドを実行してください。
		# cd src
		# cvs update -d -P -r netbsd-1-6 gnu/dist/sendmail/sendmail
		# cd gnu/usr.sbin/sendmail

                # make USETOOLS=no cleandir dependall
                # cd sendmail
                # make USETOOLS=no install


* NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3:

        2003 年 3 月 4 日より前の NetBSD-1.5, 1.5.1, 1.5.2, 1.5.3 は、
        2003 年 3 月 4 日、もしくはそれ以降の NetBSD-1.5.* に
        アップグレードする必要があります。

        CVS ブランチ netbsd-1-5 において
        更新が必要なファイルは、次のとおりです。
		src/gnu/dist/sendmail

        CVS を使ってファイルを更新し、sendmail を
        再構築・再インストールするには、次のコマンドを実行してください。
		# cd src
		# cvs update -d -P -r netbsd-1-5 gnu/dist/sendmail/sendmail
		# cd gnu/usr.sbin/sendmail

                # make USETOOLS=no cleandir dependall
                # cd sendmail
                # make USETOOLS=no install


謝辞 - Thanks To
================

Andrew Brown 氏: ソースツリーに含まれる sendmail の修正
Stoned Elipot 氏: pkgsrc の修正


改訂履歴 - Revision History
===========================

	2003-03-03	初版公開


詳細と参考資料 - More Information
=================================

新しい情報が判明した場合、セキュリティ勧告は更新されることがあります。
PGP 署名されたこの勧告の最新版は、次の場所から入手できます。
  ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-002.txt.asc

NetBSD と、NetBSD のセキュリティに関する情報は、次の場所から入手できます。
http://www.NetBSD.ORG/
http://www.NetBSD.ORG/Security/


Copyright 2003, The NetBSD Foundation, Inc.  All Rights Reserved.

$NetBSD: NetBSD-SA2003-002.txt,v 1.4 2003/03/04 03:34:36 groo Exp $


A.   私家版 NetBSD セキュリティ勧告 日本語訳
============================================

日本語訳は 佐藤 広生 <hrs@jp.FreeBSD.org> が参考のために提供するものです.
その内容についていかなる保証もいたしませんのでご注意ください.

日本語訳についてのご意見, ご要望, お問い合わせ等は
佐藤 広生 <hrs@jp.FreeBSD.org> までお願いします.