かわぐち@SecurityWatchTeamです。 OpenSSL のセキュリティアドバイザリがリリースされましたのでお知らせします。 ---------------------------------------------------------------------- ●サマリ 日付 2003/2/27 タイトル OpenSSL にセキュリティホール パッケージ名 openssl, openssl-devel, openssl-perl errata のURL http://vinelinux.org/errata/25x/20030227-2.html 関連URL http://www.openssl.org/ http://www.openssl.org/news/secadv_20030219.txt http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0078 http://www.st.ryukoku.ac.jp/~kjm/security/memo/2003/02.html#20030220_openssl ---------------------------------------------------------------------- 問題の詳細 OpenSSL 0.9.7 / 0.9.6h 以前に脆弱性が発見されています。今回はその他 のこまかなバグの修正も含めて修正するため、ベースを 0.9.6i に変更して います。互換性に問題はないはずですが、全てのケースでテストはしていま せんので各自の使用環境でご確認の上、御利用下さい。 以下、 セキュリティホールmemoより抜粋 SSL / TLS における CBC 暗号化方式に対してタイミングベースの攻撃が可能 だという。OpenSSL-0.9.6c 以降において「block cipher padding errors」 を利用した攻撃には既に対応していたが、「MAC verification errors」を 利用した攻撃には対応されておらず、タイミングベースの攻撃を受けてしまう。 OpenSSL 0.9.7a / 0.9.6i では MAC 計算が改良され、タイミングによる情報 漏曳が最小化されている。 対象 Vine-2.x/{i386,ppc,alpha} で OpenSSL を使用している人 修正パッケージ openssl-0.9.6i-0vl0.26.i386.rpm openssl-devel-0.9.6i-0vl0.26.i386.rpm openssl-perl-0.9.6i-0vl0.26.i386.rpm アップデート方法 apr-get update && apt-get upgrade or apt-get update && apt-get openssl openssl-devel openssl-perl or rpm -Fvh openssl-0.9.6i-0vl0.26.i386.rpm \ openssl-devel-0.9.6i-0vl0.26.i386.rpm \ openssl-perl-0.9.6i-0vl0.26.i386.rpm 注意事項 特になし ---------------------------------------------------------------------- かわぐち/kawa kawa@xxxxxxxxxxxxx kawakawa@xxxxxxxxxxx