OpenSSLの脆弱性公表、0.9.7hと0.9.8aがリリース 31
ストーリー by yoosee
過去の亡霊の襲来 部門より
過去の亡霊の襲来 部門より
KENN 曰く、 "
OpenSSLのSSL 2.0の実装に関連する脆弱性が公表され、修正済みのバージョンとして0.9.7hと0.9.8aがリリースされた。既存のバージョン全てに影響する脆弱性で、
SSL_OP_MSIE_SSLV2_RSA_PADDING オプションが有効な場合に、クライアントとサーバ間が SSL3.0 や TSL1.0 で接続可能な場合でも強制的に SSL2.0 にロールバックすることが可能になるというもの。詳細は openssl.org のセキュリティアドバイザリ や セキュリティホールメモの記事 等を参照の事。
これを受けてFreeBSD Projectでは SA-05:21 を発行し、RC1をリリースした6.0を含む各ブランチで対策が施された模様だ。"
関連情報 (スコア:3, 参考になる)
報告者によるFAQ (スコア:3, 参考になる)
http://www.oiwa.jp/~yutaka/tdiary/20051013.html#p01 [www.oiwa.jp]
Re:報告者によるFAQ (スコア:0)
上記リンク先に、
とありますが、どーやったら調べられるの?
教えて!
Re:報告者によるFAQ (スコア:0)
Re:報告者によるFAQ (スコア:0)
Red Hatの対応 (スコア:2, 参考になる)
では、その他のdistroの対応を以下にどうぞ↓
Re:Red Hatの対応 (スコア:2, 参考になる)
Gentooの対応状況は、GLSA 200510-11 [gentoo.org]を参照のこと。
最新のStable、dev-libs/openssl-0.9.7e-r2 [gentoo.org]にはパッチがあたってるようです。
Re:Red Hatの対応 (スコア:1)
あ、書き忘れていましたが emerge --deep world でないと更新されない環境もあると思います。
ちなみに、我が家では --deep が必要でした。
Re:Red Hatの対応 (スコア:1, 参考になる)
Plamo2.2向け [linet.gr.jp]
Plamo4.2向け [linet.gr.jp]
現行の4.03はパッケージはないみたいです。 0.9.7hか0.9.8aをmake install することになりそうです。
参考になりそうなログはこの下あたりでしょうか。 [linet.gr.jp]
Re:Red Hatの対応 (スコア:1)
openssl、openssl-develともに0.9.7f-7.10が提供されていますね。
恐らくこのバグへの対応ではないかと思われます。
#初コメントでちょっとドキドキ
急ぎではない。 (スコア:1)
SSL 2.0を無効にしたところへの影響はないようなので、
そういう人はゆっくり対応すればいいんじゃないかと思います。
# 自分とこもそろそろ0.9.8系列に移行しようかなあ。
Re:急ぎではない。 (スコア:1, 興味深い)
2.0の実装じゃなくて、3.0の実装の脆弱性 (スコア:1, すばらしい洞察)
だって、SSL 2.0に戻されちゃう脆弱性なんだから、SSL 2.0に戻されない仕掛けは SSL 3.0/TLS 1.0 の方にあるわけで。
Re:2.0の実装じゃなくて、3.0の実装の脆弱性 (スコア:1, 参考になる)
> というけど、SSL 3.0/TLS 1.0の実装の脆弱性でしょ。
#813306 [srad.jp]のコメントで紹介されている発見者の解説を読むことをお勧めします。
仕組み [www.oiwa.jp]としては昔のIE3.02のbugの救済策として用意されていた機能の悪用ということで、SSL 3.0の実装の脆弱性とは言い切れないような。
#9年も前のブラウザのための救済策を今まで標準として残していたことが問題なのだと思います。
Re:2.0の実装じゃなくて、3.0の実装の脆弱性 (スコア:0)
Re:2.0の実装じゃなくて、3.0の実装の脆弱性 (スコア:0)
自分はそれを読んだのかと問い詰めたい。
「SSL 2.0の実装に関連する脆弱性」って、2.0の何に関連したのかと。
Re:2.0の実装じゃなくて、3.0の実装の脆弱性 (スコア:0)
> 「SSL 2.0の実装に関連する脆弱性」って、2.0の何に関連したのかと。
批判の方向が明後日だよ。#813313には「SSL 2.0の実装に関連する脆弱性」の方が正しいとは一言も書いてないでしょ。
SSL 2.0の実装上の脆弱性でも
おっと!同じサイトをみてた (スコア:0)
ちなみにセキュリティー対応による更新だったのでちょっとがっかり・・・
いやOpenssl0.9.8ってApache2.0.54と相性が悪いんですよねぇ
次期リリースでメンテされることを願っていたのですが
Re:おっと!同じサイトをみてた (スコア:1)
>いやOpenssl0.9.8ってApache2.0.54と相性が悪いんですよねぇ
>次期リリースでメンテされることを願っていたのですが
ちょっと興味あるのですが、相性が悪いってどんなことがあるんですか?
Re:おっと!同じサイトをみてた (スコア:0)
> as a pem.h-definition has changed.
これじゃ,コンパイルが通らないのも当然.
> The OpenSSL-team considers this renaming as a bug correction,
> so compilation of mod_ssl will go on to fail.
OpenSSL側ではこのままいくようだから,Apache側で対処するしかない
portsから入れたOpenSSLは? (スコア:0)
SSLを動かすapacheもportsから入れたopensslにdynamic linkしてる。
こういう場合に、SAにあるようにmake buildworldする必要があるの?
portsのopensslを更新するだけじゃだめ?
逆に、make buildworldしてもportsのopensslがそのままじゃ意味ないんじゃない?
Re:portsから入れたOpenSSLは? (スコア:2, 参考になる)
むしろportsから入れるのは(openssl自身の)バージョンや脆弱性に敏感な
一部の人だけではないですか?
標準のopensslを使っている人なら、 make buildworldが必要充分だと思います。
そうでない人は、そうでないなりに何かしなきゃいけませんが。
Re:portsから入れたOpenSSLは? (スコア:2, 参考になる)
カスタマイズしたカーネルを使っている場合はどうなのかわかりませんが、そうでない場合は、変更が必要なファイルは、全部置き換えてくれるはずですし。
Re:portsから入れたOpenSSLは? (スコア:1)
freebsd-updateで簡単にパッチが可能なのはi386版ユーザだけなんですね。
amd64版などのユーザは公式に用意されるバイナリがないため、やはり自分でmakeする必要があるようです。
Re:portsから入れたOpenSSLは? (スコア:0)
sshはdynamic linkだし、何があるのだろう?
Re:portsから入れたOpenSSLは? (スコア:1)
#813222のACさんが書いていたのもあって、
深く考えずに「make buildworld」と書いてしまいました。
「make buildworld」が本当に必要かは未確認です。
ついでに、「freebsd-update」ってのも知りませんでした。ご教示感謝です。>kazamiさん
Re:portsから入れたOpenSSLは? (スコア:1)
むろんその辺は使わない(ないしは他から使う)からいいという意見もあるだろうけど、何が依存しているか、ひととおりさらっておいた方がいいよ。面倒なら無難な方を選ぶべし。
あと、自分の環境下では、 ports の openssl をインストールする前にインストールされたソフトウェア(rubyとか)がベースシステムの方の openssl とリンクしていたことにいまごろ気付いた。これは改めて portupgrade -f すれば良し。
Re:portsから入れたOpenSSLは? (スコア:0)
FreeBSD 4.0-RELEASE からベースシステムに openssl が含まれているんじゃないですか?
忘れ物を届けにきました (スコア:0)
Re:忘れ物を届けにきました (スコア:0)