JPCERT/CC、Debian GNU/Linux・Ubuntuに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起

エンタープライズその他

2008年5月16日（金） 18時26分

　有限責任中間法人JPCERT コーディネーションセンター（JPCERT/CC）は16日に、「Debian GNU/Linuxに含まれるOpenSSL/OpenSSHの脆弱性に関する注意喚起」と題する文書を発行した。

　それによると、Debian GNU/Linux、Ubuntuなどのディストリビューションに含まれるOpenSSLのパッケージに、推測可能な乱数を生成する問題があり、遠隔の第三者に暗号化された通信を復号される可能性や、証明書を使った公開鍵認証が回避される可能性があるとのこと。そのためOpenSSHで公開鍵認証に使用する鍵ペアを該当のOpenSSLライブラリを使用して作成した場合、ブルートフォース攻撃による不正なアクセスを許す可能性があるという。2008年5月16日現在、複数の攻撃コードが公開されている。また、OpenSSLライブラリを利用するその他のパッケージ（OpenVPN、OpenSWANなど）にも間接的な影響があると見られている。

対象となる製品とバージョンはDebian GNU/Linux 4.0（etch）および派生バージョン、Ubuntu 7.04（Feisty）、Ubuntu 7.10（Gutsy）、Ubuntu 8.04 LTS（Hardy）。SargeまでのDebian GNU/Linuxはこの問題の影響を受けないが、これら以外のDebianベースのディストリビューションも影響を受ける可能性があるとのこと。

　JPCERT/CCが運用する定点観測システムでは、この脆弱性を狙ったと思われるスキャンは観測されていないが、JPCERT/CCでは、該当のディストリビューションを使用しているサーバ管理者に、OpenSSLパッケージを最新のバージョンに更新するよう呼びかけている。あわせてSSH鍵やSSL証明書等の再作成も必要だ。

《冨岡晶》