Skip to content

サポート   >  セキュリティー&アップデート/ERRATA
 

脆弱性を修正したOpenSSLのアップデート パッケージ

アドバイスID: RHSA-2004:120-12
最終更新日: 2004-05-21
影響のあるプロダクト: Red Hat Desktop (v. 3)
Red Hat Enterprise Linux AS (v. 3)
Red Hat Enterprise Linux ES (v. 3)
Red Hat Enterprise Linux WS (v. 3)
CVEs (cve.mitre.org): CAN-2004-0079
CAN-2004-0081
CAN-2004-0112

Security Advisory   セキュリティ・アドバイス

概要:

リモートからのサービス拒否攻撃に対する複数の脆弱性を修正した、Red HatEnterprise Linux 3用のOpenSSLのアップデート パッケージが利用可能になりました。

OpenSSLツールキットは、Secure Sockets Layer(SSL v2/v3)プロトコルおよびTransport Layer Security(TLS v1)プロトコルを実装しており、強力な汎用暗号化ライブラリとしての機能も提供します。

OpenSSLグループによるCodenomicon TLSテストツールを使用したテストにより、OpenSSL 0.9.6c-0.9.6kおよび0.9.7a-0.9.7cのdo_change_cipher_spec()関数に、nullポインタを代入している箇所があることが発見されました。OpenSSLライブラリを使用しているサーバーに対して、リモートの攻撃者が巧妙に作成したSSL/TLSハンドシェークを実行して、OpenSSLをクラッシュさせることができます。アプリケーションによっては、サービス拒否攻撃を行うことも可能です。"Common Vulnerabilities andExposures"プロジェクト(cve.mitre.org)により、この問題はCAN-2004-0079と命名されています。

OpenSSL 0.9.7a-0.9.7cでKerberos暗号スイートを使用している際に、SSL/TLSハンドシェーキング コードに欠陥があることをStephen Henson氏が発見しました。Kerberos暗号スイートを使用するように構成されているサーバーに対して、リモートの攻撃者が巧妙に作成したSSL/TLSハンドシェークを実行して、OpenSSLをクラッシュさせることができます。ほとんどのアプリケーションはKerberos暗号スイートを使用する機能がないため、この問題の影響を受けることはありません。"CommonVulnerabilities and Exposures"プロジェクト(cve.mitre.org)により、この問題はCAN-2004-0112と命名されています。

OpenSSLグループによるCodenomicon TLSテストツールを使用したテストにより、バージョン0.9.6d以前のOpenSSL 0.9.6にバグがあることが発見されました。このバグはサービス拒否攻撃(無限ループ)の原因となり得ます。"Common Vulnerabilitiesand Exposures"プロジェクト(cve.mitre.org)により、この問題はCAN-2004-0081と命名されています。この問題の影響を受けるのは、Red Hat Enterprise Linux 3に同梱されているOpenSSL互換パッケージのみです。

上記アップデート パッケージには、これらの問題を防御するOpenSSLグループ提供のパッチが含まれています。

さらに、OpenSSLパッケージに含まれているlibicaのバージョンが1.3.5にアップデートされました。このアップデートはIBM s390およびIBM eServer zSeriesを使用しているユーザーにのみ関連するもので、最新のopenCryptokiパッケージに必要となります。

注記: サーバー アプリケーションはこの問題による影響を受けるので、ユーザーは上記アップデートをインストール後に、OpenSSLの機能を使用しているサービスをすべて再起動するか、またはシステムを再起動してください。

アップデート・パッケージ:

Red Hat Desktop (v. 3)
AMD64:
openssl-0.9.7a-33.4.x86_64.rpm     02e2620abd085cca1fd3ff02d6e6b027
openssl-devel-0.9.7a-33.4.x86_64.rpm     31ee33af40c6077a0433c50227bf1d2f
openssl-perl-0.9.7a-33.4.x86_64.rpm     5b6fef5ba19a4abc843da86aa285110e
openssl096b-0.9.6b-16.x86_64.rpm     93d75bd894053d6017157269654f2580
 
SRPMS:
openssl-0.9.7a-33.4.src.rpm     3b3b2a993ec786f7a1f31c7ec284ea1e
openssl096b-0.9.6b-16.src.rpm     fbe9785da72499e6a1bd2063ed6f4c98
 
i386:
openssl-0.9.7a-33.4.i386.rpm     d05bb8902819dc2c689a70e9db80d744
openssl-devel-0.9.7a-33.4.i386.rpm     3f3d4ecbe4b1587939502f92f24e2b37
openssl-perl-0.9.7a-33.4.i386.rpm     7dbb734563c4c2ba2b1c4f2908e452ce
openssl096b-0.9.6b-16.i386.rpm     01f99bab463ea2a0c34a2435776bbb07
 
i686:
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
 
Red Hat Enterprise Linux AS (v. 3)
SRPMS:
openssl-0.9.7a-33.4.src.rpm     3b3b2a993ec786f7a1f31c7ec284ea1e
openssl096b-0.9.6b-16.src.rpm     fbe9785da72499e6a1bd2063ed6f4c98
 
i386:
openssl-0.9.7a-33.4.i386.rpm     d05bb8902819dc2c689a70e9db80d744
openssl-devel-0.9.7a-33.4.i386.rpm     3f3d4ecbe4b1587939502f92f24e2b37
openssl-perl-0.9.7a-33.4.i386.rpm     7dbb734563c4c2ba2b1c4f2908e452ce
openssl096b-0.9.6b-16.i386.rpm     01f99bab463ea2a0c34a2435776bbb07
 
i686:
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
 
ia64:
openssl-0.9.7a-33.4.ia64.rpm     55cabb0cf72a17fbdc4ec3f645189506
openssl-devel-0.9.7a-33.4.ia64.rpm     3199e19f8077fc05b34315f214ac721c
openssl-perl-0.9.7a-33.4.ia64.rpm     c861a0dd00d2f843ac8c7865f78103b2
openssl096b-0.9.6b-16.ia64.rpm     0152bfbded573d76abe5463cdda0f12f
 
ppc:
openssl-0.9.7a-33.4.ppc.rpm     99c6aeac7b0ea8535e1984459d76e3bf
openssl-devel-0.9.7a-33.4.ppc.rpm     76ebb7864ad21d231a557a0819ec9de9
openssl-perl-0.9.7a-33.4.ppc.rpm     cfe5035405485155fad6e270f62ac383
openssl096b-0.9.6b-16.ppc.rpm     4e648449f2c1db92a638b0287fd42165
 
ppc64:
openssl-0.9.7a-33.4.ppc64.rpm     ed685cb7cec41e6dfbd56914aeb074b5
openssl-devel-0.9.7a-33.4.ppc64.rpm     7ebb94cbb8175dd1e974254a51c72b44
openssl-perl-0.9.7a-33.4.ppc64.rpm     d87236c47aba867545991572eb06b3d8
 
s390:
openssl-0.9.7a-33.4.s390.rpm     bef3431f7d8c1aef5342b63b59995d4b
openssl-devel-0.9.7a-33.4.s390.rpm     c5be24b20d318c17634fe70e548a49c4
openssl-perl-0.9.7a-33.4.s390.rpm     8047af064fc9b2c4473208ef71f89551
openssl096b-0.9.6b-16.s390.rpm     bf0a81fbcde746ad2d90502fa07e2b08
openssl-0.9.7a-33.4.s390.rpm     bef3431f7d8c1aef5342b63b59995d4b
 
s390x:
openssl-0.9.7a-33.4.s390x.rpm     e32a76bcacbdf9784cea51e72ebbd0be
openssl-devel-0.9.7a-33.4.s390x.rpm     a79b9cf9018edc2a329569bdf4539012
openssl-perl-0.9.7a-33.4.s390x.rpm     94d49f39aa1e86c37e697ece88b1dcfb
 
x86_64:
openssl-0.9.7a-33.4.x86_64.rpm     02e2620abd085cca1fd3ff02d6e6b027
openssl-devel-0.9.7a-33.4.x86_64.rpm     31ee33af40c6077a0433c50227bf1d2f
openssl-perl-0.9.7a-33.4.x86_64.rpm     5b6fef5ba19a4abc843da86aa285110e
openssl096b-0.9.6b-16.x86_64.rpm     93d75bd894053d6017157269654f2580
 
Red Hat Enterprise Linux ES (v. 3)
SRPMS:
openssl-0.9.7a-33.4.src.rpm     3b3b2a993ec786f7a1f31c7ec284ea1e
openssl096b-0.9.6b-16.src.rpm     fbe9785da72499e6a1bd2063ed6f4c98
 
i386:
openssl-0.9.7a-33.4.i386.rpm     d05bb8902819dc2c689a70e9db80d744
openssl-devel-0.9.7a-33.4.i386.rpm     3f3d4ecbe4b1587939502f92f24e2b37
openssl-perl-0.9.7a-33.4.i386.rpm     7dbb734563c4c2ba2b1c4f2908e452ce
openssl096b-0.9.6b-16.i386.rpm     01f99bab463ea2a0c34a2435776bbb07
 
i686:
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
 
Red Hat Enterprise Linux WS (v. 3)
SRPMS:
openssl-0.9.7a-33.4.src.rpm     3b3b2a993ec786f7a1f31c7ec284ea1e
openssl096b-0.9.6b-16.src.rpm     fbe9785da72499e6a1bd2063ed6f4c98
 
i386:
openssl-0.9.7a-33.4.i386.rpm     d05bb8902819dc2c689a70e9db80d744
openssl-devel-0.9.7a-33.4.i386.rpm     3f3d4ecbe4b1587939502f92f24e2b37
openssl-perl-0.9.7a-33.4.i386.rpm     7dbb734563c4c2ba2b1c4f2908e452ce
openssl096b-0.9.6b-16.i386.rpm     01f99bab463ea2a0c34a2435776bbb07
 
i686:
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
openssl-0.9.7a-33.4.i686.rpm     23ea387b8e0d59674b221cf6bd711da5
 
ia64:
openssl-0.9.7a-33.4.ia64.rpm     55cabb0cf72a17fbdc4ec3f645189506
openssl-devel-0.9.7a-33.4.ia64.rpm     3199e19f8077fc05b34315f214ac721c
openssl-perl-0.9.7a-33.4.ia64.rpm     c861a0dd00d2f843ac8c7865f78103b2
openssl096b-0.9.6b-16.ia64.rpm     0152bfbded573d76abe5463cdda0f12f
 
x86_64:
openssl-0.9.7a-33.4.x86_64.rpm     02e2620abd085cca1fd3ff02d6e6b027
openssl-devel-0.9.7a-33.4.x86_64.rpm     31ee33af40c6077a0433c50227bf1d2f
openssl-perl-0.9.7a-33.4.x86_64.rpm     5b6fef5ba19a4abc843da86aa285110e
openssl096b-0.9.6b-16.x86_64.rpm     93d75bd894053d6017157269654f2580
 
(The unlinked packages above are only available from the Red Hat Network)

解決法:

このアップデートを適用する前に、システムに関連するリリース済の errata が適用済であることをご確認ください。
それぞれのアーキテクチャで全てのRPMをアップデートするには、以下のコマンドを実行してください:

rpm -Fvh [filename]

[filename] は、アップデートしたいRPMのファイル名です。現在インストールされているパッケージのみ、アップグレードされます。現在いるディレクトリにインストールしたいRPM *しか* 無い場合には、 ワイルドカード (*.rpm) も使うことができます。
このアップデートは、Red Hat Network 経由でも行なえます。アップデートを適用する非常に簡便な方法です。Red hat Network をご利用になるには、以下のコマンドで、アップデートエージェントを起動してください。

up2date

このコマンドで、システムに適切なRPMをアップグレードする対話形式のプロセスを起動します。

バグジラ:  (詳細は、こちらbugzilla[英語]を御覧ください。)

117770 - CAN-2004-0079/0081/0112 Flaws in OpenSSL

参照:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0079
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0081
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0112
http://www.codenomicon.com/testtools/tls/
http://www.niscc.gov.uk/

キーワード:

sendmail


ここに在るパッケージはセキュリティの為、 Red Hat, Inc. によって、 GPG 認証されています。キーは以下から利用可能になっています:
http://www.redhat.com/about/contact.html

各パッケージを確認するには次のコマンドをご利用ください: rpm --checksig filename
各パッケージが壊れていないか、もしくは改ざんされていないかを確認するには、以下のコマンドで MD5 チェックサムをお調べください: rpm --checksig --nogpg filename
注意: GnuPG キーをチェックするためには、RPM 3.0 以上が必要です。