OpenSSHなどの暗号化に使われるOpenSSLライブラリに脆弱性が見つかった問題で、この脆弱性を突いてブルートフォース攻撃を仕掛けるスクリプトが出回っている。US-CERTやSANS Internet Storm Centerは早期にSSH鍵を生成し直すよう勧告。DebianとUbuntuもアドバイザリーを公開し、対処方法を紹介している(関連記事参照)。
US-CERTによると、脆弱性はSSLとSSH暗号鍵の生成に使われる乱数ジェネレータに存在し、2006年9月17日以降に生成された暗号鍵が影響を受ける。問題を悪用されるとリモートの認証を受けない攻撃者が情報を盗み出すことが可能になる。
SANS Internet Storm Centerによれば、この問題を自動的に悪用するスクリプトが公開され、脆弱な暗号鍵を攻撃して力ずくで暗号を解読するブルートフォース攻撃に使われている。攻撃を受ければ簡単に暗号が破られてしまう恐れがあるという。
Debian/Ubuntuで生成された脆弱性のある公開鍵を使っているSSHサーバにとって、極めて深刻な脅威だとSANSは指摘。Debianチームは脆弱な鍵を検出できるツールを公開しており、こうしたツールやDebian、Ubuntuアドバイザリーに従って、できるだけ早期に対処するよう促している。
関連記事
- Security Incident Report:Debian OpenSSLの脆弱性はあなたのシステムにも影響する
DebianのOpenSSLパッケージに脆弱性が見つかった事件。自分のシステムはDebianでもUbuntuでもないから安心だと思っているサーバ管理者は、それが大きな間違いであることに一刻も早く気づき、対策を施すべきである。 - DebianのOpenSSLライブラリに予測可能な乱数の生成を行う脆弱性
OpenSSHやOpenVPNなどの暗号化にも用いられるOpenSSLライブラリに予測可能な乱数を生成してしまう脆弱性が発見された。DebianやUbuntuでOpenSSHなどを用いている方はすぐにチェックが必要だ。 - OpenSSLに脆弱性、リモートでコード実行の恐れも
OpenSSLに2件の脆弱性が見つかり、最新バージョンへのアップグレードなどが勧告されている。 - OpenSSLにDoS攻撃招く脆弱性
OpenSSL Projectは3月17日、2件の脆弱性が発見されたと報告、修正後のバージョンをリリースした。 - Trend Insight:FOSSセキュリティ弱点トップリスト
FOSSセキュリティ弱点トップリストに名を連ねたFOSS。しかし、問題は、ソフトウェア資産にあまりに無頓着な企業の姿勢である。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.