影響はDebianやUbuntuサーバ以外にも

DebianのOpenSSLに脆弱性、「弱い鍵」が破られる恐れ

2008/05/20

 「Debian」とその派生ディストリビューションに含まれる「OpenSSL」パッケージに脆弱性が発見され、複数のセキュリティ機関が警告を発している。すでに、この脆弱性を狙って暗号鍵を破り、不正侵入を試みる攻撃コードの存在も報告されている。

 OpenSSLは、SSL/TLSによる暗号化通信を行うためのツールキットだ。脆弱性は、Debian、およびUbuntuをはじめとするその派生ディストリビューションに含まれるOpenSSL 0.9.8c-1以降に存在する。

 今回問題となっている脆弱性は、バッファオーバーフローのように直接の不正侵入を許す性質のものではない。OpenSSLでは、暗号化通信のための暗号鍵/証明書を生成できるが、問題があるのは、その基となる乱数の生成アルゴリズムだ。

 DebianのOpenSSLパッケージのメンテナによる誤ったパッチ適用によって、SSL/SSH暗号鍵の基になる乱数が推測可能なものとなり、暗号が非常に「弱い」ものとなってしまった。この結果、総当たり攻撃(ブルートフォース攻撃)によって鍵を見つけ出され、暗号化通信が復号されて情報を盗み見られる恐れがある。

 問題がやっかいなのは、影響範囲がDebian/Ubuntuのみにとどまらないことだ。Debian JP Projectでは、「Debianを使っていない場合でも、問題のあるバージョンのOpensslパッケージが含まれたDebianで生成したクライアント鍵を使っている場合は影響を受ける」ことに注意を呼び掛けている。

 つまり、Debian以外のディストリビューションやBSD上で、SSHサーバや認証局、DNSSECを運用していたとする。この場合でも、その鍵や証明書を脆弱性のあるDebian/Ubuntuで生成していたならば、同様に不正アクセスの恐れがあることになる。Debian JP Projectでは、特にSSHのユーザー鍵については、攻撃によってシェルへのアクセスを許すことになるため、注意が必要だとしている。

 解決策は、OpenSSLをアップデートするとともに、現在利用している鍵や証明書を破棄し、再生成することだ。Debian JP ProjectのWebページには、詳細な方法とともに、手元のサーバが影響を受けるかどうかをチェックできるスクリプトが用意されている。

(@IT 高橋睦美)

情報をお寄せください:

Linux & OSS フォーラム 新着記事

キャリアアップ

- PR -

注目のテーマ

- PR -
ソリューションFLASH

「ITmedia マーケティング」新着記事

アジアで人気の日本のコンテンツ、マンガとアニメ以外では?――Fun Japan Communications調べ
アジア各国でも広く視聴されている日本のコンテンツ、どんなものが人気なのでしょうか。

LINEの中小企業向け事業の現在 最新サービスと事例を知る
企業のマーケティング担当者にとってLINEは「大手の企業向けサービス」「費用が高そう」...

高齢者マーケティングに関する必要性の認識と取り組みの実態――日本能率協会総合研究所調査
経営企画・マーケティング担当者400人を対象にした調査結果です。