OpenSSLの脆弱性CVE-2015-0204,0205,0206,CVE-2014-3569,3570,3571,3572,8275まとめ

公開日: : 最終更新日:2015/01/20 最新技術

OpenSSLに8個の脆弱性が見つかりましたね。
CVE-2015-0204,CVE-2015-0205,CVE-2015-0206,CVE-2014-3569,CVE-2014-3570,CVE-2014-3571,CVE-2014-3572,CVE-2014-8275 と多いです。
やはり対策としては最新版にアップデートするしかないのですが、今回はその脆弱性についての情報です。

スポンサーリンク

脆弱性概要

CVE-2015-0204 RSA silently downgrades to EXPORT_RSA

OpenSSLの s3_clnt.c 内の、ssl3_get_key_exchange 関数に問題があり、RSA-to-EXPORT_RSA downgrade攻撃や、ブルートフォース復号で、弱いRSAキーを提供する。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

CVE-2015-0205 DH client certificates accepted without verification

OpenSSLの s3_srvr.c 内の ssl3_get_cert_verify 関数は、細工されたTLS Handshake Protocol により、CertificateVerifyメッセージを必要とせずにDiffie-Hellman (DH)証明書でクライアント認証を受け入れる。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0205

CVE-2015-0206 DTLS memory leak in dtls1_buffer_record

d1_pkt.cのdtls1_buffer_record機能にメモリーリーク問題があるため、攻撃者が多くのレコードを送ることにより、メモリリークによるサービス停止を引き起こす。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0206

CVE-2014-3569 no-ssl3 configuration sets method to NULL

OpenSSLの s23_srvr.c 内の ssl23_get_client_hello 関数に問題があり、攻撃者がNULLポインタ参照とデーモンクラッシュによるサービス停止を引き起こす。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3569

CVE-2014-3570 Bignum squaring may produce incorrect results

OpenSSLの crypto/bn/asm/mips.pl,crypto/bn/asm/x86_64-gcc.c, crypto/bn/bn_asm.c 内の BN_sqr にBIGNUM値の二乗を計算しないという問題があり、攻撃者に暗号保護メカニズムが破られやすい。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3570

CVE-2014-3571 DTLS segmentation fault in dtls1_get_record

OpenSSLの d1_pkt.c 内の dtls1_get_record 関数、s3_pkt.c 内の ssl3_read_n 関数に問題があり、攻撃者が細工したDTLSメッセージを使うことで、NULLポインタ参照とアプリケーションのクラッシュによるサービス妨害を引き起こす。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3571

CVE-2014-3572 ECDHE silently downgrades to ECDH

OpenSSLの s3_clnt.c 内の、ssl3_get_key_exchange 関数に問題があり、ECDHE-to-ECDH ダウングレード攻撃される。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3572

CVE-2014-8275 Certificate fingerprints can be modified

OpenSSLの crypto/asn1/a_verify.c, crypto/dsa/dsa_asn1.c, crypto/ecdsa/ecs_vrf.c, crypto/x509/x_all.c にセキュリティの問題があり、攻撃者が細工されたデータを送ることで、保護メカニズムが破られる。

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8275

影響範囲

OpenSSL 1.0.1、1.0.0、0.9.8 の全てのバージョン

対策

最新版の以下バージョンににアップデートする。

  • openssl-1.0.1k
  • openssl-1.0.0p
  • openssl-0.9.8zd

https://www.openssl.org/source/

参考

Security Advisory: eight security fixes

AD

この記事が興味深かった場合は、SNSボタンでシェアいただけると嬉しいです。

関連記事

スティック型PC 「m-Stickシリーズ MS-NH1」

スティック型PC 「m-Stickシリーズ MS-NH1」というものがマウスコンピュータから発売され

記事を読む

windows-logo

Microsoftが19年間存在していたバグに対するパッチを公開

先日公開された、以下のWindowsのセキュリティパッチについてです。 マイクロソフト

記事を読む

glibcの脆弱性 CVE-2015-0235 GHOST まとめ

今朝起きたらRedHat社から、CVE-2015-0235 GHOSTの脆弱性が判明したからすぐに対

記事を読む

Intel Core i9 が登場ですって。

Intel がCore2シリーズを撤廃して、「Core i3」「Core i5」「Core i7」「

記事を読む

ntpdの脆弱性CVE-2014-9293,9294,9295,9296まとめ

ntpdに4つの脆弱性が見つかりましたね。 そのうちの一つCVE-2014-9295は任意のコード

記事を読む

Message

メールアドレスが公開されることはありません。

AD

PAGE TOP ↑