影響はDebianやUbuntuサーバ以外にも

DebianのOpenSSLに脆弱性、「弱い鍵」が破られる恐れ

2008/05/20

 「Debian」とその派生ディストリビューションに含まれる「OpenSSL」パッケージに脆弱性が発見され、複数のセキュリティ機関が警告を発している。すでに、この脆弱性を狙って暗号鍵を破り、不正侵入を試みる攻撃コードの存在も報告されている。

 OpenSSLは、SSL/TLSによる暗号化通信を行うためのツールキットだ。脆弱性は、Debian、およびUbuntuをはじめとするその派生ディストリビューションに含まれるOpenSSL 0.9.8c-1以降に存在する。

 今回問題となっている脆弱性は、バッファオーバーフローのように直接の不正侵入を許す性質のものではない。OpenSSLでは、暗号化通信のための暗号鍵/証明書を生成できるが、問題があるのは、その基となる乱数の生成アルゴリズムだ。

 DebianのOpenSSLパッケージのメンテナによる誤ったパッチ適用によって、SSL/SSH暗号鍵の基になる乱数が推測可能なものとなり、暗号が非常に「弱い」ものとなってしまった。この結果、総当たり攻撃(ブルートフォース攻撃)によって鍵を見つけ出され、暗号化通信が復号されて情報を盗み見られる恐れがある。

 問題がやっかいなのは、影響範囲がDebian/Ubuntuのみにとどまらないことだ。Debian JP Projectでは、「Debianを使っていない場合でも、問題のあるバージョンのOpensslパッケージが含まれたDebianで生成したクライアント鍵を使っている場合は影響を受ける」ことに注意を呼び掛けている。

 つまり、Debian以外のディストリビューションやBSD上で、SSHサーバや認証局、DNSSECを運用していたとする。この場合でも、その鍵や証明書を脆弱性のあるDebian/Ubuntuで生成していたならば、同様に不正アクセスの恐れがあることになる。Debian JP Projectでは、特にSSHのユーザー鍵については、攻撃によってシェルへのアクセスを許すことになるため、注意が必要だとしている。

 解決策は、OpenSSLをアップデートするとともに、現在利用している鍵や証明書を破棄し、再生成することだ。Debian JP ProjectのWebページには、詳細な方法とともに、手元のサーバが影響を受けるかどうかをチェックできるスクリプトが用意されている。

(@IT 高橋睦美)

情報をお寄せください:

Linux & OSS フォーラム 新着記事

キャリアアップ

- PR -

注目のテーマ

- PR -
ソリューションFLASH

「ITmedia マーケティング」新着記事

「ECプラットフォーム」 売れ筋TOP10(2024年3月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

GoogleがZ世代のローカル検索でInstagramやTikTokに敗北 なぜこうなった? これからどうなる?
Googleは依然として人気の検索サイトだが、ことZ世代のローカル検索に関しては、Instagra...

DE&Iに関する実態調査 「公平」と「平等」の違いについて認知度は2割未満
NTTデータ経営研究所がNTTコム オンライン・マーケティング・ソリューションと共同で実施...