OpenSSL 0.9.6d 以前のバージョンに脆弱性 39
ストーリー by Oliver
GNU-TLSも使ってみよう 部門より
GNU-TLSも使ってみよう 部門より
ryoryoryo曰く、"OpenSSL Project から OpenSSL Security Advisory [30 July 2002] が出ています。これによるとキーやセッション ID のバッファオーバーランなど複数の問題が同時にアナウンスされており、リモートから攻撃される可能性があるとのこと影響を受けるバージョンは 0.9.6d 以前のもの、0.9.7beta2 以前のものなどであるということです。
対策としては、0.9.6d や 0.9.7 用のパッチをあてるか 0.9.6e または 0.9.7beta3 以降のバージョンにアップグレードし、OpenSSL が提供する SSL や TLS を使うすべてのアプリケーションを再コンパイルすることが推奨されています。それまではサーバでは SSL2 を無効化 (0.9.7 のプレリリース版で Kerberos を有効にしている場合は Kerberos も無効化) すること、クライアントでは OpenSSL 関係すべてを無効化することが必要なようですが、この対策ではすべての問題に対応できるわけではないようです (Advisory 2 の Recommendations ではアップグレードすることのみが推奨されている)。
なお、日本時間 7/30 23:30 現在 openssl.org は非常に重くなっているようですが、/. 本家の同ストーリーに ミラーサイトのリストのミラーを紹介するコメントがあったため、こちらもあわせて紹介しておきます。"
Vineでも早速出たようですよ (スコア:3, 参考になる)
こういう対応が迅速だとユーザとしては確かに嬉しいもんですな。
他力本願。
Re:Vineでも早速出たようですよ (スコア:0)
素直に喜んでおいたほうがいいの?:)
ついでにfor Vine-2.1.x [vinelinux.org]
# Vineでopenssl をdynamic link されてる物って何があるかな…
Re:Vineでも早速出たようですよ (スコア:2, 参考になる)
AC@#136590さんの手元の環境で、ってことならはずしてますが、ざっと思い浮かぶだけssh, sshd, httpd(Apache+mod_ssl), wget, w3mなどがありますね。ほかにも/usr/bin/*あたりをlddで探せばたくさん出てきます。
Re:Vineでも早速出たようですよ (スコア:0)
tcpdump
snmptrapd(ちなみに、VinePlusのはふるかったので自前rpm)
snmpd(同上)
sshd
ですかね。tcpdumpがlinkしていたのには意外でした。
他にも気がついたらstatic linkしてた、とかいうオチがありませんように…
ン、よく考えたらrpm -e --test opensslしてみればいいじゃん:)
Re:Vineでも早速出たようですよ (スコア:2, すばらしい洞察)
Re:Vineでも早速出たようですよ (スコア:0)
っていうかここに書くときにtypoしただけT-T
# 似たような名前のライブラリはややこすぅぃ
Re:Vineでも早速出たようですよ (スコア:0)
tcpdump, libpcap
php
fetchmail
w3m ucd-snmpほげ
でした。これらを使ってる人は最低でも該当daemon(phpはapacheかね)を再起動しましょう。
無論、うちでは入れてない物(たとえばmod_ssl)でも使ってるでしょうから、まだ調査が必要でしょうけどね。
Ben Laurieのpatch (スコア:2, 参考になる)
Ben Laurieがbugtraq [securityfocus.com]にpatchを流しています(0.9.6d、0.9.7-beta2用 [securityfocus.com]、0.9.5a、0.9.6、0.9.6b、0.9.6c、0.9.7-dev用 [securityfocus.com])まずはこれでしのぎましょう。
0.9.6d用はここですね。 (スコア:2, 参考になる)
Debian の対応状況 (スコア:2, 参考になる)
この通告を見る限りでは、dynamic link された通常のパッケージでは openssl/libssl を upgrade して関連のソフトを restart すればいいようですね。
potatoは? (スコア:1, 興味深い)
Re:potatoは? (スコア:3, 興味深い)
まだ正式決定ではないですが、少なくとも3ヶ月のフルサポートと、遠隔からの脆弱性についてはそれ以上 [debian.org]を考えているそうです。ただし、限られたリソースのなかで、Woody のほうが優先になる [debian.org]とのこと。リソースがどれくらい限られていて、Woody に対してどれくらい遅れるかについてはコメントがありませんので、どうしても気になる方は直接質問してください。
正式な決定およびアナウンスについては できれば今週中に出したい [debian.org]とありますが、まだのようです。
というわけで、potato 用のセキュリティアップデートは、出るはずだと思います。
# まだ出てないみたいですが。
Re:potatoは? (スコア:0)
woodyがリリースされてから、まだ1週間しか経ってないんですよ。世界中のクリティカルな用途で使われているDebianサーバのほとんどが、まだpotatoだ
Re:potatoは? (スコア:1)
ただし、
ぼくは個人的にはセキュリティにはあまり関心がありませんし、 技術も全然ありません。 ぼくが Debian のセキュリティ意識を代表しているとは、考えないでください。まあ、自分の時間をさらに Debian につぎこんで、 セキュリティアップデートについて改善する作業をすることは、 できるかもしれませんが、どうせ興味のないことを義務感でやっても 長続きしないと思うので、やるつもりはありません。
Re:potatoは? (スコア:0)
少しは汗かこうよ。。。
Re:potatoは? (スコア:1, 興味深い)
自分もまだpotatoなサーバたくさん抱えてます。
ま、自分でパッケージ作るから、なんとかはなるけど。
現実的にはpotatoまで現状のDebian開発者たちがサポートするのは無理でしょう。
potatoメンテナンスチームみたいのがもうしばらくあっても良いとは思うんだけど。
あるいはDebianを商業的にサポートする組織が少ないのが問題かなぁ。
Re:potatoは? (スコア:2, 参考になる)
まったく、議論の邪魔にしかならないモデレートならない方がいいわな。
という話はさておき、
とあるのは、「追って出します」という意味なのか「今のところは手に入らないから必要なら誰か作ってね」という意味なのかが微妙なところですね。Debianのコアチームには、potatoのメンテが無理なら無理とはっきり表明してもらって、どこかにまかせるとかしてもらえたら、と思ったりします。
もっとも、正直なところプロプライエタリなシステムほど、コアチームのサポート云々は気になりません。必要ならさくっとFixパッケージを作って(パッチがあるからそう難しくない)、自サイト内のパッケージ置き場に置いて apt-get すれば済みますから。どうせ自家製パッケージをいくつも抱えてるし、それがひとつ増えるだけってことで。
Re:potatoは? (スコア:1, 参考になる)
Re:potatoは? (スコア:0)
OpenSSLとは関係なくなってきましたが、こういったpotatoのフィックスはいつまで出るのだろうか?
Re:potatoは? (スコア:1, 興味深い)
Re:potatoは? (スコア:1, 参考になる)
Re:potatoは? (スコア:0)
おーい山田君、「参考になる(+1)」3つ持ってきて。
Re:potatoは? (スコア:0)
自分でRPMニギってますが何か?
# どうせとっくの昔に見捨てられた2000だし。
Re:potatoは? (スコア:0)
# testing が一番遅いんだよ~ openssl-0.9.6e パッケはまだ~?
mm もだったのか (スコア:0)
2回も入れ替えしなくて済みました。
もしかして、足並みそろえて公開したのかな?
Re:potatoは? (スコア:0)
Re:potatoは? (スコア:0)
ちゅうか、先にpotatoの方が出てたら「なぜwoodyには出さないんだ!」って話になるん?
単に、作業が終わった順に出してるだけだとおもうんだけど。
モデレータ殿 (スコア:0, すばらしい洞察)
過去の話題でDebianユーザが他のディストリビューションやOSを攻撃したときに指摘として用いた「古いバージョンはサポートしない」「サポートが遅れる」などの問題がそのまんまDebian自体にも該当することに気付かされるコメントだからです。
Re:モデレータ殿 (スコア:1)
この件のモデレーションにはタッチしてないんですが、
モデレーションのカテゴリで提案です。
「参考になる」「おもしろおかしい」等の値では、
「フレームの元」「よけいなもの」を元に戻すのには相応しくないので、「ふつう(+1)」みたいな値を追加できないもんですかね?
#これ「余計なもの」かも?
-- LightSpeed-J
Re:モデレータ殿 (スコア:2, 参考になる)
モデレーションの選択肢に,「過小評価」と「買いかぶり」というのがあったはずです。 「過小評価」は不当なマイナスモデレーションを修正 (+1) するもので, 「買いかぶり」は不当なプラスモデレーションを修正 (-1) するものです。
でも,「フレームの元」とか「余計なもの」といった,モデレーションに付随するラベルは付け替えられなかったような。
Re:モデレータ殿 (スコア:1)
「過小評価」「買いかぶり」
って何に使うか全然しりませんでした。
ラベルも張り替えられたらもっと良いんですね。
-- LightSpeed-J
Re:モデレータ殿 (スコア:0)
Re:potatoは? (スコア:0)
Re:potatoは? (スコア:0)
Re:potatoは? (スコア:0)
Re:potatoは? (スコア:0)
やっとあった (スコア:1)
で取りました。本家の記事にあったurlです。
windowsではビルドできないみたい。 (スコア:1)
Building OpenSSL
link /nologo /subsystem:console /machine:I386 /opt:ref /dll /out:out32dl
l\ssleay32.dll /def:ms/SSLEAY32.def @C:\Temp\nma02684.
ライブラリ out32dll\ssleay32.lib とオブジェクト out32dll\ssleay32.exp を作成中
s3_clnt.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
ssl_sess.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
ssl_asn1.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
s2_srvr.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
s2_clnt.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
s2_lib.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
s3_srvr.obj : error LNK2001: 外部シンボル "_OpenSSLDie" は未解決です
out32dll\ssleay32.dll : fatal error LNK1120: 外部参照 1 が未解決です。
NMAKE : fatal error U1077: 'link' : リターン コード '0x460'
Stop.
CA-2002-23 (スコア:0)
CERT Advisory CA-2002-23 Multiple Vulnerabilities in OpenSSL [cert.org]が出てます。