Debian セキュリティ勧告

DSA-2950-1 openssl -- セキュリティ更新

報告日時:
2014-06-05
影響を受けるパッケージ:
openssl
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-0195, CVE-2014-0221, CVE-2014-0224, CVE-2014-3470.
詳細:

複数の脆弱性が OpenSSL に発見されています:

  • CVE-2014-0195

    Jueri Aedla さんが DTLS 断片の処理にバッファオーバーフローを発見しました。 任意のコードの実行やサービス拒否につながる可能性があります。

  • CVE-2014-0221

    Imre Rad さんが、DTLS hello パケットの処理がサービス拒否を起こしやすいことを発見しました。

  • CVE-2014-0224

    菊池正史さんが、 巧妙に細工したハンドシェイクにより弱い鍵の使用を強制できることを発見しました。 潜在的には中間者攻撃につながる可能性があります。

  • CVE-2014-3470

    Felix Groebert さんと Ivan Fratric さんが、匿名 ECDH 方式の暗号の実装がサービス拒否の原因となりやすいことを発見しました。

追加の情報が http://www.openssl.org/news/secadv_20140605.txt にあります。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.0.1e-2+deb7u10 で修正されています。 openssl とリンクしているアプリケーションは全て再起動する必要があります。 パッケージ debian-goodies に収録されているツール checkrestart を使って影響のあるプログラムを検出するかシステムを再起動してください。 今日この後に Linux カーネルのセキュリティ更新 (CVE-2014-3153) の発表を予定しているためいずれにせよ再起動は必要になります。 タイミングとしては良いですよね?

不安定版 (unstable) ディストリビューション (sid) では、この問題は近く修正予定です。

直ちに openssl パッケージをアップグレードすることを勧めます。