Debian セキュリティ勧告

DSA-2309-1 openssl -- 証明書発行機関からの不正なデジタル証明書

報告日時:
2011-09-13
影響を受けるパッケージ:
openssl
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2011-1945.
詳細:

DigiNotar Certificate Authority からの不正な SSL 証明書が流通してい ることが確認されました。これは、上記証明書機関から十分に要求者の身元 を確認されずに発行されたもので、この事件のその後の調査の進展により、 DigiNotar が署名した証明書はもはや全て信用できないと判断されました。 Debian でも他のソフトウェアベンダと同様に、既定の CA 証明書機関の一 覧から Diginotar Root CA を削除することとしています。 この更新では、OpenSSL ツールキットの crypto ライブラリで対象証明書を 無効化することで上記が実現されています。 上記コンポーネントを利用するアプリケーションは、今後は DigiNotar の 証明書を拒否すべきです。各個別アプリケーションでは、ユーザから認証失 敗に対する上書きを許すこともできますが、例外を作ることはとても推奨し がたい行為で、かつ注意深い検証が必要です。

さらに、ECDHE_ECDS 暗号化アルゴリズムに、タイミング攻撃により秘密鍵の解 析が容易になるという欠陥があり、これも修正されています。The Common Vulnerabilities and Exposures project はこの問題を CVE-2011-1945 として採番しています。

旧安定版 (oldstable) ディストリビューション (lenny) では、これらの問題 はバージョン 0.9.8g-15+lenny12 で修正されています。

安定版 (stable) ディストリビューション (squeeze) では、これらの問題はバ ージョン 0.9.8o-4squeeze2 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、これらの問題は 近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバ ージョン 1.0.0e-1 で修正されています。

直ぐに openssl パッケージをアップグレードすることを勧めます。