DebianやUbuntuのOpenSSLに予測可能な乱数を生成してしまう脆弱性

出典:『ウィキニュース』(ベータ版)
ナビゲーションに移動 検索に移動

【2008年5月16日】

Wikipedia
ウィキペディアOpenSSLに関する記事があります。

US-CERTや、Secunia、Debian ProjectITmediaによると、DebianUbuntuOpenSSLパッケージなどの脆弱性を解消したパッケージが公開された。この脆弱性は、生成する乱数が予測可能になることにより、その乱数を使って生成するの材料が予測可能となる。[1][2][3][4][5]

Secuniaは、この問題の危険度を5段階で2番目に高い危険度 (Highly Critical) だと評価している。[2]

Debian Projectによると、この脆弱性は、OpenSSL自身の問題ではなく、CVE-2008-0166の修正をDebian Projectが行った修正が原因で、Debianから派生したUbuntuなどのディストリビューションにも影響がある。また、この脆弱性をもつシステムで生成した鍵を他のOSにインポートした場合にも問題がある。[3]

影響を受ける鍵は次のとおり。[3]

これらに関して、脆弱性を修正したパッケージをインストールした後で、鍵を作り直す必要がある。[3]

ITmediaが報じたところによると、SANS Internet Storm Centerによれば、この脆弱性を使ってブルートフォース攻撃を行うスクリプトが公開されているという。[6]

出典[編集]

  1. "US-CERT Current Activity: Debian and Ubuntu OpenSSL and OpenSSH Vulnerabilities"US-CERT、2008年5月15日 (UTC-4)。
  2. 2.0 2.1 "Debian OpenSSL Predictable Random Number Generator and Update - Advisories - Secunia"Secunia、2008年5月13日 (UTC±0)。
  3. 3.0 3.1 3.2 3.3 『Debian -- セキュリティ情報 -- DSA-1571-1 openssl』Debian Project、2008年5月13日 (UTC)。
  4. 『Debian -- セキュリティ情報 -- DSA-1576-1 openssh』Debian Project、2008年5月14日 (UTC)。
  5. 『DebianのOpenSSLライブラリに予測可能な乱数の生成を行う脆弱性 - ITmedia エンタープライズ』ITmedia、2008年5月15日9時2分 (UTC+9)。
  6. 『OpenSSLの脆弱性突くブルートフォース攻撃発生、簡単に暗号解読の恐れ - ITmedia News』ITmedia、2008年05月16日8時36分 (UTC+9)。

外部リンク[編集]