パスワードを忘れた? アカウント作成
3514 story

OpenSSL 0.9.6d 以前のバージョンに脆弱性 39

ストーリー by Oliver
GNU-TLSも使ってみよう 部門より

ryoryoryo曰く、"OpenSSL Project から OpenSSL Security Advisory [30 July 2002] が出ています。これによるとキーやセッション ID のバッファオーバーランなど複数の問題が同時にアナウンスされており、リモートから攻撃される可能性があるとのこと影響を受けるバージョンは 0.9.6d 以前のもの、0.9.7beta2 以前のものなどであるということです。
対策としては、0.9.6d や 0.9.7 用のパッチをあてるか 0.9.6e または 0.9.7beta3 以降のバージョンにアップグレードし、OpenSSL が提供する SSL や TLS を使うすべてのアプリケーションを再コンパイルすることが推奨されています。それまではサーバでは SSL2 を無効化 (0.9.7 のプレリリース版で Kerberos を有効にしている場合は Kerberos も無効化) すること、クライアントでは OpenSSL 関係すべてを無効化することが必要なようですが、この対策ではすべての問題に対応できるわけではないようです (Advisory 2 の Recommendations ではアップグレードすることのみが推奨されている)。
なお、日本時間 7/30 23:30 現在 openssl.org は非常に重くなっているようですが、/. 本家の同ストーリーミラーサイトのリストのミラーを紹介するコメントがあったため、こちらもあわせて紹介しておきます。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by shikine (296) on 2002年07月31日 13時12分 (#136546) ホームページ 日記
    openssl にセキュリティホール [vinelinux.org]

    こういう対応が迅速だとユーザとしては確かに嬉しいもんですな。
    --
    他力本願。
    • 少し前までの放置プレイっぷりを見てだけに複雑な気分…
      素直に喜んでおいたほうがいいの?:)
      ついでにfor Vine-2.1.x [vinelinux.org]
      # Vineでopenssl をdynamic link されてる物って何があるかな…
      • by Ryo.F (3896) on 2002年07月31日 15時11分 (#136612) 日記
        > # Vineでopenssl をdynamic link されてる物って何があるかな…

        AC@#136590さんの手元の環境で、ってことならはずしてますが、ざっと思い浮かぶだけssh, sshd, httpd(Apache+mod_ssl), wget, w3mなどがありますね。ほかにも/usr/bin/*あたりをlddで探せばたくさん出てきます。
        親コメント
        • /usr/sbinでとりあえずlibcrypt.so 使っているとわかったのだけ。
          tcpdump
          snmptrapd(ちなみに、VinePlusのはふるかったので自前rpm)
          snmpd(同上)
          sshd
          ですかね。tcpdumpがlinkしていたのには意外でした。
          他にも気がついたらstatic linkしてた、とかいうオチがありませんように…

          ン、よく考えたらrpm -e --test opensslしてみればいいじゃん:)
          • by nagatsuki (9641) on 2002年07月31日 21時47分 (#136869)
            OpenSSLのライブラリはlibcrypto.soですね。 libcrypt.soはglibcの一部です。
            親コメント
            • rpm -e --test openssl で引っかかった物と一致してるからこの際typo関係ないです。
              っていうかここに書くときにtypoしただけT-T
              # 似たような名前のライブラリはややこすぅぃ
          • opensshほげ(当たり前)
            tcpdump, libpcap
            php
            fetchmail
            w3m ucd-snmpほげ
            でした。これらを使ってる人は最低でも該当daemon(phpはapacheかね)を再起動しましょう。
            無論、うちでは入れてない物(たとえばmod_ssl)でも使ってるでしょうから、まだ調査が必要でしょうけどね。
  • Ben Laurieのpatch (スコア:2, 参考になる)

    by brake-handle (5065) on 2002年07月31日 0時05分 (#136252)

    Ben Laurieがbugtraq [securityfocus.com]にpatchを流しています(0.9.6d、0.9.7-beta2用 [securityfocus.com]、0.9.5a、0.9.6、0.9.6b、0.9.6c、0.9.7-dev用 [securityfocus.com])まずはこれでしのぎましょう。

  • Debian の対応状況 (スコア:2, 参考になる)

    by yoosee (196) on 2002年07月31日 9時24分 (#136420) ホームページ 日記
    security.debian.org [debian.org] にも 7/30 の時点で DSA-136 [debian.org] のアナウンスが出ており、既に security update が upload されています。
    この通告を見る限りでは、dynamic link された通常のパッケージでは openssl/libssl を upgrade して関連のソフトを restart すればいいようですね。
    • potatoは? (スコア:1, 興味深い)

      by Anonymous Coward on 2002年07月31日 9時40分 (#136430)
      ねえ、ねえ、potatoのアップデートは出ないの?マジかよ、そりゃないよ。woodyこないだ正式リリースになったばかりじゃん。大量稼働中のサーバ、そんなにすぐにバージョンアップできねえよ。
      親コメント
      • Re:potatoは? (スコア:3, 興味深い)

        by kubota (64) on 2002年08月01日 11時08分 (#137180) ホームページ 日記
        debian-security [debian.org] メーリングリストの このメール [debian.org]からのスレッドをお読みください。

        まだ正式決定ではないですが、少なくとも3ヶ月のフルサポートと、遠隔からの脆弱性についてはそれ以上 [debian.org]を考えているそうです。ただし、限られたリソースのなかで、Woody のほうが優先になる [debian.org]とのこと。リソースがどれくらい限られていて、Woody に対してどれくらい遅れるかについてはコメントがありませんので、どうしても気になる方は直接質問してください。

        正式な決定およびアナウンスについては できれば今週中に出したい [debian.org]とありますが、まだのようです。

        というわけで、potato 用のセキュリティアップデートは、出るはずだと思います。

        # まだ出てないみたいですが。

        親コメント
        • by Anonymous Coward
          脆弱性が明らかになってから、すぐにリリースされないセキュリティアップデートなど、セキュリティアップデートの意味がないですよ。
          woodyがリリースされてから、まだ1週間しか経ってないんですよ。世界中のクリティカルな用途で使われているDebianサーバのほとんどが、まだpotatoだ
          • by kubota (64) on 2002年08月01日 13時31分 (#137243) ホームページ 日記
            言いたいことは分かりますし、 まったく そのとおりだとも思います。 リソースの問題といっても、なにがどう具体的に問題なのか、 疑問に思っています。

            ただし、

            kubotaさんレベルでこの程度の認識
            ぼくは個人的にはセキュリティにはあまり関心がありませんし、 技術も全然ありません。 ぼくが Debian のセキュリティ意識を代表しているとは、考えないでください。

            まあ、自分の時間をさらに Debian につぎこんで、 セキュリティアップデートについて改善する作業をすることは、 できるかもしれませんが、どうせ興味のないことを義務感でやっても 長続きしないと思うので、やるつもりはありません。

            親コメント
          • by Anonymous Coward
            なあ、みんなタダで使ってるんだからさ。
            少しは汗かこうよ。。。
      • Re:potatoは? (スコア:1, 興味深い)

        by Anonymous Coward on 2002年07月31日 10時42分 (#136461)
        至極まっとうな意見だと思う。なんでフレームのもとなんだ・・・
        自分もまだpotatoなサーバたくさん抱えてます。
        ま、自分でパッケージ作るから、なんとかはなるけど。

        現実的にはpotatoまで現状のDebian開発者たちがサポートするのは無理でしょう。
        potatoメンテナンスチームみたいのがもうしばらくあっても良いとは思うんだけど。
        あるいはDebianを商業的にサポートする組織が少ないのが問題かなぁ。
        親コメント
        • Re:potatoは? (スコア:2, 参考になる)

          by visha (779) on 2002年07月31日 10時55分 (#136465) 日記

          まったく、議論の邪魔にしかならないモデレートならない方がいいわな。

          という話はさておき、

          These vulnerabilities are also present in Debian 2.2 (potato), but no fix is available at this moment.

          とあるのは、「追って出します」という意味なのか「今のところは手に入らないから必要なら誰か作ってね」という意味なのかが微妙なところですね。Debianのコアチームには、potatoのメンテが無理なら無理とはっきり表明してもらって、どこかにまかせるとかしてもらえたら、と思ったりします。

          もっとも、正直なところプロプライエタリなシステムほど、コアチームのサポート云々は気になりません。必要ならさくっとFixパッケージを作って(パッチがあるからそう難しくない)、自サイト内のパッケージ置き場に置いて apt-get すれば済みますから。どうせ自家製パッケージをいくつも抱えてるし、それがひとつ増えるだけってことで。

          親コメント
      • Re:potatoは? (スコア:1, 参考になる)

        by Anonymous Coward on 2002年07月31日 12時23分 (#136512)
        もうでてますDSA 137-1 [debian.org]よ。
        親コメント
        • by Anonymous Coward
          上の議論は杞憂でしたね。

          OpenSSLとは関係なくなってきましたが、こういったpotatoのフィックスはいつまで出るのだろうか?
        • by Anonymous Coward
          これは mm package であって openssl じゃない :-)
          # testing が一番遅いんだよ~ openssl-0.9.6e パッケはまだ~?
          • by Anonymous Coward
            いや~良いタイミングです。ありがたい。
            2回も入れ替えしなくて済みました。

            もしかして、足並みそろえて公開したのかな?
      • by Anonymous Coward
        r7出てからまだ一月もたってない [debian.org]しね。Debianプロジェクト内部のポリシーやら事情はともかく、普通の感覚で言うと「何でバグフィクス出さないの?」って感じ。
        • by Anonymous Coward
          「出さない」とはいってないような。
          ちゅうか、先にpotatoの方が出てたら「なぜwoodyには出さないんだ!」って話になるん?
          単に、作業が終わった順に出してるだけだとおもうんだけど。
      • モデレータ殿 (スコア:0, すばらしい洞察)

        by Anonymous Coward
        この貴重な意見のスコアを戻してやってください。
        過去の話題でDebianユーザが他のディストリビューションやOSを攻撃したときに指摘として用いた「古いバージョンはサポートしない」「サポートが遅れる」などの問題がそのまんまDebian自体にも該当することに気付かされるコメントだからです。
        • えーと、
          この件のモデレーションにはタッチしてないんですが、
          モデレーションのカテゴリで提案です。

          「参考になる」「おもしろおかしい」等の値では、
          「フレームの元」「よけいなもの」を元に戻すのには相応しくないので、「ふつう(+1)」みたいな値を追加できないもんですかね?

          #これ「余計なもの」かも?
          --
          -- LightSpeed-J
          親コメント
          • Re:モデレータ殿 (スコア:2, 参考になる)

            by numa (4467) on 2002年07月31日 13時36分 (#136560) ホームページ 日記

            モデレーションの選択肢に,「過小評価」と「買いかぶり」というのがあったはずです。 「過小評価」は不当なマイナスモデレーションを修正 (+1) するもので, 「買いかぶり」は不当なプラスモデレーションを修正 (-1) するものです。

            でも,「フレームの元」とか「余計なもの」といった,モデレーションに付随するラベルは付け替えられなかったような。

            親コメント
      • by Anonymous Coward
        普通"potatoにも脆弱性あるけどfixは今ないよーん"っていわれたら「おい一寸待て」って思うがなあ…。
        • by Anonymous Coward
          それは、「fixができあがるまでは沈黙を守るべき」との意見ですか?
      • by Anonymous Coward
        みなさんタダで使ってるんですよね。
      • by Anonymous Coward
        今頃アップデートが出た。すんごい遅すぎ。もう自分でパッケージ作っていれちゃったよ。正式パッケージを入れ直すので二度手間。
  • by cassandro (6035) on 2002年07月31日 1時45分 (#136327)
    ftp://opensores.thebunker.net/pub/mirrors/openssl/source/openssl-0.9.6e.tar.gz

    で取りました。本家の記事にあったurlです。
  • 0.9.6eと0.9.6d(+パッチ)の両方ともビルド(VC6)は下記のようなエラーでビルドできませんでした。Winユーザはもう少し待ち状態ですかね。

    Building OpenSSL
                    link /nologo /subsystem:console /machine:I386 /opt:ref /dll /out:out32dl
    l\ssleay32.dll /def:ms/SSLEAY32.def @C:\Temp\nma02684.
          ライブラリ out32dll\ssleay32.lib とオブジェクト out32dll\ssleay32.exp を作成中
    s3_clnt.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
    ssl_sess.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
    ssl_asn1.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
    s2_srvr.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
    s2_clnt.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
    s2_lib.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
    s3_srvr.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
    out32dll\ssleay32.dll : fatal error LNK1120: 外部参照 1 が未解決です。
    NMAKE : fatal error U1077: 'link' : リターン コード '0x460'
    Stop.
  • by Anonymous Coward on 2002年07月31日 3時08分 (#136360)
typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...