メルマガ購読
有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は16日に、「Debian GNU/Linuxに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起」と題する文書を発行した。
それによると、Debian GNU/Linux、Ubuntuなどのディストリビューションに含まれるOpenSSLのパッケージに、推測可能な乱数を生成する問題があり、遠隔の第三者に暗号化された通信を復号される可能性や、証明書を使った公開鍵認証が回避される可能性があるとのこと。そのためOpenSSHで公開鍵認証に使用する鍵ペアを該当のOpenSSLライブラリを使用して作成した場合、ブルートフォース攻撃による不正なアクセスを許す可能性があるという。2008年5月16日現在、複数の攻撃コードが公開されている。また、OpenSSLライブラリを利用するその他のパッケージ(OpenVPN、OpenSWANなど)にも間接的な影響があると見られている。
対象となる製品とバージョンはDebian GNU/Linux 4.0(etch)および派生バージョン、Ubuntu 7.04(Feisty)、Ubuntu 7.10(Gutsy)、Ubuntu 8.04 LTS(Hardy)。SargeまでのDebian GNU/Linuxはこの問題の影響を受けないが、これら以外のDebianベースのディストリビューションも影響を受ける可能性があるとのこと。
JPCERT/CCが運用する定点観測システムでは、この脆弱性を狙ったと思われるスキャンは観測されていないが、JPCERT/CCでは、該当のディストリビューションを使用しているサーバ管理者に、OpenSSLパッケージを最新のバージョンに更新するよう呼びかけている。あわせてSSH鍵やSSL証明書等の再作成も必要だ。
JPCERT/CC、Debian GNU/Linux・Ubuntuに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起
2008年5月16日(金) 18時26分
《冨岡晶》
注目ニュース
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣浩司)は15日に、「SQLインジェクション攻撃に関する注意喚起」と題する文書を公表し、あらためて注意を呼びかけた。
情報処理推進機構コーディネーションセンター(JPCERT/CC)は14日、ここ数日、Webサイトに対するSQLインジェクション攻撃が行われ、Webサイトが改ざんされる被害が発生していると警告した。
13日深夜、RBB TODAY編集部のアドレスに株式会社ゆうちょ銀行を騙るメールが届いた
JPCERT/CCは7日に、「国内ブランドを装ったフィッシングサイトに関する注意喚起」と題する文書を公開し、注意を呼びかけている。
独立行政法人 情報処理推進機構(IPA)は6日より、TCP/IPを実装する製品の開発者向けに、TCP/IPに係る既知の脆弱性検証ツールを開発・公開し、CD-ROMでの貸出を開始した。
独立行政法人 情報処理推進機構(IPA)および有限責任中間法人JPCERTコーディネーションセンター(JPCERT/CC)は、18日に共同で、「ソフトウエア等の脆弱性関連情報に関する届出状況 [20...
有限責任中間法人 JPCERTコーディネーションセンターは15日、「JPCERT/CC 活動概要 2007年10月1日〜2007年12月31日」を公開した。
JPCERTコーディネーションセンター(JPCERT/CC)は25日、コンピュータセキュリティインシデント発生の予防、および緊急時の対応に関し、セキュリティ対策実施状況、ならびに緊急時の連絡体制の事...
独立行政法人 情報処理推進機構(略称:IPA)は4日、ソニー株式会社が提供する音楽管理ソフトウェア「SonicStage CP」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を公表した。
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は22日、2007年第3四半期の脆弱性関連情報の届出状況のまとめを発表した。
8月23日、JPCERT/CCは、22日以降よりTCP 5168番ポートへのスキャンが増加していることを確認し、「注意喚起」のアラートを発した。
6月28日、JPCERT/CCは、MPackと呼ばれる攻撃ツールによる被害が主に海外で増加していると注意喚起を行った。
![[FREESPOT] 茨城県のRUSTICANA つくばなど7か所にアクセスポイントを追加](/imgs/pickup2/181526.jpg)
