Debian OpenSSLの脆弱性はあなたのシステムにも影響する:Security Incident Report
DebianのOpenSSLパッケージに脆弱性が見つかった事件。自分のシステムはDebianでもUbuntuでもないから安心だと思っているサーバ管理者は、それが大きな間違いであることに一刻も早く気づき、対策を施すべきである。
DebianのOpenSSLパッケージに脆弱性が見つかった事件。OpenSSLだけでなく、OpenSSH、Apache2 SSL、MIT Kerberos(krb5)、OpenSWAN/StrongSWAN、OpenVPN、sendmail、ssl-cert、telnetd-sslなど実に広範なパッケージに影響が出る問題だ。問題はすでに修正されているとはいえ、事件直後、多くのメディアであたかもDebianとUbuntuだけに影響する問題であるかのような報道がなされたが、実際のところはおおよそすべてのホストに影響し得るものである。
Debian JP Projectが5月19日に公開したエントリには、幾つもの想定問答集によって今回の問題が決してDebianやUbuntuだけの問題ではなく、広範囲に波及しうる問題であることを分かりやすく伝えている。
今回の問題をまとめると、「欠陥があるバージョンのOpenSSLパッケージを使って作られた鍵/証明書が脆弱」であることをまず理解しておく必要がある。つまり、運用しているサーバのディストリビューションがたとえ*BSDやほかのディストリビューションなどであっても、その中のユーザーの1人でも問題のあるバージョンのOpensslパッケージが含まれたDebianで生成したクライアント鍵を使っていれば、DebianやUbuntuではないそのホストが総当たり攻撃によって侵入可能な状態に陥ることになる。
Debian GNU/Linux 3.1(sarge)で生成されたSSH鍵は今回の問題の影響を受けないが、これも上と同様、そのユーザーのうち1人でも~/.ssh/authorized_keysに該当の欠陥がある状態で作られた鍵が登録していれば脆弱性を有することになるため油断はできない。Debian GNU/Linux 4.0(Etch)であれば、最新の更新で既知の脆弱な鍵リストを利用したアクセス拒否が行えるようになったが、Sargeはセキュリティサポートが終了しているため、このような危険な状態からは保護されないので注意が必要だ。
また、OpenSSLパッケージに該当の脆弱性があった期間に作られたSSLの証明書もこの問題の影響を受ける。場合によってはSSLの証明書の再発行に費用が掛かることもあるため管理者を悩ますことだろうが、その作業と脆弱性を残すことと比較すべき話ではないため直ちにチェックすべきである。幸いなことに、ベンダーによっては今回の場合についてSSLサーバ証明書の残存期間の無償再発行を行うなどとしているところがあるという。各ベンダーの対応も併せて確認するとよいだろう。
Debian Projectでは、perlで書かれたスクリプトであるDebian OpenSSL Weak Key Detector(dowkd)などを用意し、すべてのサーバ管理者にチェックを呼びかけているほか、以下のようなWebページを用意し、誤解に基づく油断がないか再度確認を呼びかけている。適宜更新されているページもあるので、頻繁にチェックすることを強くお勧めする。
- DSA-1571-1 openssl――予測可能な乱数の生成
- DSA-1576-1 openssh――予測可能な乱数の生成(パッケージはさらに更新されている)
- Debian WikiのSSLkeysページ(適宜更新中)
- 鍵のロールオーバー(5月19日午後8時時点では、OpenSSH、bincimap、boxbackup、cryptsetup、dropbear、ekg、ftpd-ssl、gforge、MIT Kerberos(krb5)、OpenSWAN/ StrongSWAN、OpenVPN、puppet、sendmail、ssl-cert、telnetd-ssl、tinc、tor、xrdp についての情報を掲載)
関連記事
- OpenSSLの脆弱性突くブルートフォース攻撃発生、簡単に暗号解読の恐れ
脆弱なSSH鍵を攻撃して力ずくで暗号を解読してしまうスクリプトが出回っている。 - DebianのOpenSSLライブラリに予測可能な乱数の生成を行う脆弱性
OpenSSHやOpenVPNなどの暗号化にも用いられるOpenSSLライブラリに予測可能な乱数を生成してしまう脆弱性が発見された。DebianやUbuntuでOpenSSHなどを用いている方はすぐにチェックが必要だ。 - OpenSSLに脆弱性、リモートでコード実行の恐れも
OpenSSLに2件の脆弱性が見つかり、最新バージョンへのアップグレードなどが勧告されている。 - OpenSSLにDoS攻撃招く脆弱性
OpenSSL Projectは3月17日、2件の脆弱性が発見されたと報告、修正後のバージョンをリリースした。 - Trend Insight:FOSSセキュリティ弱点トップリスト
FOSSセキュリティ弱点トップリストに名を連ねたFOSS。しかし、問題は、ソフトウェア資産にあまりに無頓着な企業の姿勢である。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.