Debian, Ubuntu等に限定したOpenSSLの脆弱性
jla 2008-05-14 10:36:31
Debian Projectにも参加している野首です。先日、Debian Projectを震撼させる出来事が発生しました。
オープンソースソフトウェア、あるいは一部の商用ソフトウェアでも利用されている、OpenSSLという暗号化ライブラリに、Debian開発者の当てたパッチが原因で予測可能な乱数を生成してしまう脆弱性が入り込んでしまいました。
暗号にとって乱数は非常に重要です。予測可能な乱数を使ってしまうと、それが暗号を破る手がかりとなってしまいます。
ライブラリの脆弱性なので影響範囲も大きく、OpenSSH, OpenVPN, DNSSECの鍵やX.509証明書などが影響を受けます。特にOpenSSHは非常に大きな問題です。
オリジナルのOpenSSLにはこのような問題はないので、今のところDebianとUbuntuがこの脆弱性についてのリリースを出しています。
- [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
- USN-612-1: OpenSSL vulnerability | Ubuntu
Debian Projectは当然のことながらさまざまな開発インフラにDebianを利用しています。
そのため、ssh鍵の破棄作業が大量に発生しています。
sshやOpenVPNの鍵が問題のあるバージョンのOpenSSLで生成されたものかどうかを
確認するツールも用意されています。
- http://security.debian.org/project/extra/dowkd/dowkd.pl.gz
- http://security.debian.org/project/extra/dowkd/dowkd.pl.gz.asc(OpenPGP署名)
dowkd.plは危険なデータ列をブラックリストとして保持しており、OpenSSHとOpenVPNの鍵に
それらが含まれているかどうかで危険性の有無をチェックするツールです。今のところ、
ブラックリストは完全に網羅しているわけではないので、もしかするとこのツールでも
チェック漏れが発生するかもしれません。
DebianやUbuntuのユーザの皆さんはお気をつけてください。私の個人的なblogでは、
OpenSSHのチェックと鍵の作り直し方法について具体的に説明
しています。そちらもご参考になれば幸いです。
追 記
タイトルが間違っていました... どうもすみません。また、いろいろとコメントをいただき、大変感謝
しております。皆さんのご意見を参考に、今月の理事会で議論をしてみようと思います。
Debian公式WikiのSSLkeys
というページに関連するさまざまなパッケージと対処法が記録されています。
こちらのほうがより情報が詳しいです。
このページには技術的な解説もなされています。Debianのopensslメンテナが
varglind(メモリリークを検出するツール)の出すエラーを減らす作業をしていて、
その過程で乱数生成ルーチンのバッファの取り扱いをあやまってしまったようです。
こういったツールはメモリの配置に影響を及ぼすので、このようなシリアスな場面では
過信しないことが重要だという教訓になりました。
※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。
ピックアップコンテンツPR
-
勝ち残るIT活用--中堅中小企業の現場からタレントの江口ともみさんをレポーターに、
全国さまざまな業種の企業担当者に聞く! -
ZDNet特別企画 ビッグデータ一気読み刻々と生成される大量データを使えてますか?
特設サイトでビッグデータを徹底解説
企画特集PR
-
「出入口」を固め、攻撃を防御する
従来の防御が使えない!?複合的手法による
脅威から企業システムを守るために -
今こそワークスタイルを変えよう!
場所を問わない働き方を提供し
事業継続も実現するデスクトップ仮想化 -
2012年はDBサーバー統合始動の年!
仮想化の暗黒大陸を切り拓く
高次元のサーバー性能とHAクラスタリング -
鍵はロードバランサーにあり!
クラウドは2048ビットSSLの時代へ
Citrix NetScalerが通常の2倍の速度で処理 -
激変するセキュリティの今を知る
被害が相次ぐ標的型サイバー攻撃
有効な対策はあるのか? -
漫画で解説 クラウドのITリソース
管理者は、OS、仮想環境の混在に悩む
クラウド環境に必要な3つの運用サイクル -
オープンソースで実現するクラウド
【セミナー】IBM、Red Hat、サイオス
リーディングカンパニー3社が語る最新動向 -
どうぞお好きなデバイスを会社に
デスクトップ仮想化でBYOを始めよう
生産性・管理性向上で競争力をアップ! -
仮想環境の確実な保護!
インフラ部分からセキュリティを保つ
エージェントレス型ウィルスソフトの力 -
標的は大企業ばかりではない!
サイバー攻撃への対策
いま最優先すべきは? -
セキュアなリモートアクセス環境を
企業システムへの接続を安全、簡単にする
Juniper Networks MAGシリーズ -
非効率を一掃、仕事をスマートに!
コラボレーションを変えるクラウドサービス
-
組織力、現場力を高める情報共有!
ANAや商船三井など5社の事例で読み解く
-
地域密着企業が挑んだ拠点間の統合
強みを加速するマイクロソフトの提案とは
-
世界で戦えるクラウド対応VPNとは?
グローバルシームレスサービスで実現する、
高速・安心・高信頼なネットワーク環境 -
CNET キャリア:転職「失敗」事例
大手企業に入りたい。が唯一の動機でした
-
もはや神話な、クラウドの思い込み
よくある「5つの勘違い」の真実とは?
IT担当者必見の、目覚めの書を公開 -
7万円台のウルトラブックも!
2012年春モデルの情報をいち早く掲載
HPのお得な情報や最新情報が満載
-
リリース
PHP技術者認定機構、上級試験合格者紹介ページ開設について情報を公開しました
特定非営利活動任意団体 PHP技術者認定機構
-
イベント
BIツール「Yellowfin」プレミアムセミナー
京セラ丸善システムインテグレーション株式会社
-
企業ブログ
【EMC Tech Communityサイト】Greenplum HD
EMCジャパン株式会社
ZDNet Japanは、情報システム部門の読者を対象に、ITを活用したビジネス課題の解決策を提供します。技術や製品の解説、ケーススタディ、ホワイトペーパーなどを通じて、情報システム部門の正しい意志決定を支援します。
ITビジネス全般については、CNET Japanをご覧ください。
