JPCERT/CC、Debian GNU/Linux・Ubuntuに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起 | RBB TODAY

JPCERT/CC、Debian GNU/Linux・Ubuntuに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起

エンタープライズ その他

 有限責任中間法人JPCERT コーディネーションセンター(JPCERT/CC)は16日に、「Debian GNU/Linuxに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起」と題する文書を発行した。

 それによると、Debian GNU/Linux、Ubuntuなどのディストリビューションに含まれるOpenSSLのパッケージに、推測可能な乱数を生成する問題があり、遠隔の第三者に暗号化された通信を復号される可能性や、証明書を使った公開鍵認証が回避される可能性があるとのこと。そのためOpenSSHで公開鍵認証に使用する鍵ペアを該当のOpenSSLライブラリを使用して作成した場合、ブルートフォース攻撃による不正なアクセスを許す可能性があるという。2008年5月16日現在、複数の攻撃コードが公開されている。また、OpenSSLライブラリを利用するその他のパッケージ(OpenVPN、OpenSWANなど)にも間接的な影響があると見られている。

  対象となる製品とバージョンはDebian GNU/Linux 4.0(etch)および派生バージョン、Ubuntu 7.04(Feisty)、Ubuntu 7.10(Gutsy)、Ubuntu 8.04 LTS(Hardy)。SargeまでのDebian GNU/Linuxはこの問題の影響を受けないが、これら以外のDebianベースのディストリビューションも影響を受ける可能性があるとのこと。

 JPCERT/CCが運用する定点観測システムでは、この脆弱性を狙ったと思われるスキャンは観測されていないが、JPCERT/CCでは、該当のディストリビューションを使用しているサーバ管理者に、OpenSSLパッケージを最新のバージョンに更新するよう呼びかけている。あわせてSSH鍵やSSL証明書等の再作成も必要だ。
《冨岡晶》

関連ニュース

特集

page top