OpenSSL の複数の脆弱性に関する注意喚起

                 <<< JPCERT/CC Alert 2016-03-02 >>>

                OpenSSL の複数の脆弱性に関する注意喚起

            https://www.jpcert.or.jp/at/2016/at160010.html

I. 概要

  OpenSSL Project が提供する OpenSSL には複数の脆弱性があります。影響を
受ける脆弱性の詳細については、OpenSSL Project の情報を確認してください。

    OpenSSL Project
    OpenSSL Security Advisory [1st March 2016]     https://www.openssl.org/news/secadv/20160301.txt

  影響を受ける脆弱性 (CVE-2016-0800) について、該当するバージョンの OpenSSL
を用いて、SSLv2 を利用可能としている場合に、遠隔の第三者によって、秘密
鍵などの重要な情報を取得される可能性があります。

II. 対象

  以下のバージョンが脆弱性の影響を受けます。

  – OpenSSL 1.0.1r およびそれ以前の 1.0.1 系列
  – OpenSSL 1.0.2f およびそれ以前の 1.0.2 系列

III. 対策

  OpenSSL Project から脆弱性を修正したバージョンの OpenSSL が公開されて
います。十分なテストを実施の上、修正済みのバージョンを適用することをお
勧めします。

  – OpenSSL 1.0.1s
  – OpenSSL 1.0.2g

  OpenSSL Project によれば、OpenSSL 0.9.8 系列及び 1.0.0 系列は、
2015年12月31日にて、サポートが終了しており、今後修正済みのバージョンは
提供されないとのことです。

    OpenSSL Project
    The New Release Strategy
    https://www.openssl.org/blog/blog/2014/12/23/the-new-release-strategy/

  なお、脆弱性 (CVE-2016-0800) の回避策として、修正済みバージョンの適用
が困難な場合は、SSLv2 を無効にすることを検討してください。

IV. 参考情報

    Vulnerability Note VU#583776
    Network traffic encrypted using RSA-based SSL certificates over SSLv2 may be decrypted by the DROWN attack
    https://www.kb.cert.org/vuls/id/583776

    OpenSSL Project
    Release Strategy
    https://www.openssl.org/policies/releasestrat.html

    RedHat, Inc.
    DROWN – Cross-protocol attack on TLS using SSLv2 – CVE-2016-0800
    https://access.redhat.com/security/vulnerabilities/drown

    Debian Project
    DSA-3500-1 openssl — security update
    https://www.debian.org/security/2016/dsa-3500

    Canonical Ltd (Ubuntu)
    USN-2914-1: OpenSSL vulnerabilities
    http://www.ubuntu.com/usn/usn-2914-1/

  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。

======================================================================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:03-3518-4600       FAX: 03-3518-4602
https://www.jpcert.or.jp/