OpenSSLの脆弱性情報(Low: CVE-2019-1551)

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。

12/06/2019にOpenSSLの脆弱性情報(Low: CVE-2019-1551)が公開されています。こちらはPriorityはLowで影響は少なく修正版も出ませんが、念の為、この脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。





Priority

Priority

CVE番号 影響するバージョン Priority CVSS Score / CVSS Vector
CVE-2019-1551 1.1.1-1.1.1d, 1.0.2-1.0.2t

Vendor: Low

修正方法

各ディストリビューションの情報を確認してください。

CVE概要(詳細はCVEのサイトをご確認ください)

  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1551
    • バッファーオーバーフローの可能性
    • 重要度 - Low
    • 対象 - OpenSSL 1.1.1/1.0.2
    • 512ビットのmoduliとしてべき乗で使用されているMontgomery squaringプロシージャにオーバーフローのバグが見つかりました。ECアルゴリズムには影響しません。この欠陥の結果として2-prime RSA1024、3-prime RSA1536、およびDSA1024に対する攻撃は実行が非常に困難であり、可能性が高くないと分析されています。DH512に対する攻撃は実行可能であると見なされています。 ただし、攻撃の場合、ターゲットはDH512秘密キーを再使用する必要がありますが、これは元々推奨されていない方法です。 また、BN_FLG_CONSTTIMEを使用している場合、LowレベルのAPI BN_mod_expを直接使用するアプリケーションも影響を受ける可能性があります。

主なディストリビューションの対応方法

詳細は、各ディストリビューションの提供元にご確認ください


対処方法

今回は修正版が出ないため、対処は各ディストリビューションの情報に従ってください。

なお、OpenSSL 1.0.1シリーズ以前のバージョンは本家ではサポート終了となっておりますので詳しい情報は各ディストリビューショ ンの提供元にご確認下さい。


セキュリティ系連載案内

セミナー情報1

OSSセキュリティ技術の会では、2019/12/13(金) 19:00-21:00に「OSSセキュリティ技術の会 第七回勉強会(副題:君がッ泣くまで入力をやめないッ! ~Linuxカーネルの高度な試験自動化技術と バグハンティングの巻~)」と題して、「syzkaller/syzbot」をテーマに勉強会を開催することになりました。

Linux カーネルのソースコードカバレッジを活用した高度な試験自動化技術について話していただきます。

プログラム内容と申し込みの詳細についてはこちら(connpass)を御確認下さい。

セミナー情報2

12/23(月) 19:00から21:00で、恵比寿のRed Hat様(会場)「RHEL好きの集い」コミュニティによるイベント「RHEL好きの集い Vol.2.1 」を開催致します。

今回は"〜RHEL8のライブカーネルパッチとUBIを深堀り〜"と題しまして、RHEL8.1から正式サポートになりましたkpatchと、UBIを深堀するイベントとなります。

プログラム内容と申し込みの詳細につきましては、こちら(connpass)を御確認下さい。


OSSに関するお困りごとは サイオス OSSよろず相談室まで

サイオスOSSよろず相談室 では、OSSを利用する中で発生する問題に対し、長年培ってきた技術力・サポート力をもって企業のOSS活用を強力に支援します。Red Hat Enterprise Linux のほか、CentOS をご利用されている環境でのサポートも提供いたします。

前へ

phpMyadminの脆弱性情報(Medium: CVE-2019-19617)

次へ

Kubernetes CSI sidecarの脆弱性情報(Medium/Moderate: CVE-2019-11255)