OpenSSL CCS インジェクションの脆弱性 (CVE-2014-0224) の警告
Red Hat は、最近、Red Hat 製品に同梱される OpenSSL のすべてのバージョンに影響する脆弱性について報告を受けました。CVE-2014-0224 は、暗号化された接続に対して、中間者の攻撃を可能にします。
通常、SSL/TLS 接続によって暗号化されたトラフィックが 2 つのパーティ間を行き来できます。ここでは、許可された送信者と受信者だけがデータの暗号を解読できます。中間者の攻撃時には、暗号化データストリームが暗号を解読するのを攻撃者が妨害し、上述のデータを表示して操作します。
サーバーおよびクライアントがこの問題に対して脆弱である場合に限り、この脆弱性が利用されます。2 つのうちのいずれかが脆弱である場合は、利用される危険はありません。
注意: この脆弱性は、サーバーまたはクライアントサイドの主要なマテリアルを抜き出すために使用することはできません。これは、ソフトウェアをアップデートした後に、署名済みの既存の証明書を置き換える必要がないことを示しています。
この問題は、システムにどのような影響を与えますか?
この問題は、OpenSSL を使用している製品に影響します。
この問題に対応するアップデートとして一覧に挙げられているバージョン以前のバージョンはすべて、ある程度影響を受けます。
詳細については、修正内容を記載した各記事を参照してください。
影響を受ける製品:
| 製品/チャンネル | 影響を及ぼすバージョン | 修正されたパッケージ | 修正内容 |
|---|---|---|---|
| Red Hat Enterprise Linux 7 | openssl-1.0.1e | openssl-1.0.1e-34.el7_0.3 | Red Hat Enterprise Linux |
| openssl098e | openssl098e-0.9.8e-29.el7_0.2 | ||
| Red Hat Enterprise Linux 6 | openssl-1.0.1e | openssl-1.0.1e-16.el6_5.14 | Red Hat Enterprise Linux |
| openssl098e | openssl098e-0.9.8e-18.el6_5.2 | ||
| openssl-1.0.0 | openssl-1.0.1e-16.el6_5.14 | ||
| Red Hat Storage 2.1 | openssl-1.0.1e | openssl-1.0.1e-16.el6_5.14 | Red Hat Storage 2.1 |
| Red Hat Enterprise Virtualization | openssl-1.0.1e | openssl-1.0.1e-16.el6_5.14 | Red Hat Enterprise Virtualization |
| Red Hat Enterprise Linux 5 | openssl-0.9.8e | openssl-0.9.8e-27.el5_10.3 | Red Hat Enterprise Linux |
| openssl-0.9.8b | openssl-0.9.8e-27.el5_10.3 | ||
| openssl097a | openssl097a-0.9.7a-12.el5_10.1 | ||
| Red Hat Enterprise Linux 4 Extended Lifecycle Support | openssl-0.9.7a | openssl-0.9.7a-43.22.el4 | Red Hat Enterprise Linux |
| Red Hat Enterprise Linux 5.6 Long Life | openssl-0.9.8e | openssl-0.9.8e-12.el5_6.12 | Red Hat Enterprise Linux |
| Red Hat Enterprise Linux 5.9 Extended Update Support | openssl-0.9.8e | openssl-0.9.8e-26.el5_9.4 | Red Hat Enterprise Linux |
| Red Hat Enterprise Linux 6.2 Advanced Update Support | openssl-1.0.0 | openssl-1.0.0-20.el6_2.7 | Red Hat Enterprise Linux |
| Red Hat Enterprise Linux 6.3 Extended Update Support | openssl-1.0.0 | openssl-1.0.0-25.el6_3.3 | Red Hat Enterprise Linux |
| Red Hat Enterprise Linux 6.4 Extended Update Support | openssl-1.0.0 | openssl-1.0.0-27.el6_4.4 | Red Hat Enterprise Linux |
| Red Hat JBoss Middleware 製品 | JBoss EAP 5.2 | Red Hat JBoss Middleware | |
| JBoss EAP 6.2 CP03 / 6.2 CP03 | |||
| JBoss EWS 2.0.1 | |||
| JBoss EWP 5.2 |
上に挙げた製品クラスのマシンは、クライアントとして作成された接続が脆弱性のあるサーバーへのものかどうかを特定できないため、堅実な解決策として、脆弱性のあるバージョンを実行しているマシンはすべてアップデートすることが推奨されます。
よくある質問
この FAQ は、OpenSSL の脆弱性 CVE-2014-0224 (別名 "CCS Injection") に関するものです。
この問題は HeartBleed と同じ問題ですか?
違います。この問題は OpenSSL で新しく見つかった問題で、中間者による攻撃が発生します。詳細については、上述の説明を参照してください。
この問題は HeartBleed よりも重要な問題ですか?
HeartBleed は、インターネット上で誰もが脆弱性のあるサーバーのセキュリティホールを突くことができました。この問題では、攻撃者が不具合を利用するためには、リアルタイムでネットワークトラフィックを遮断し、改ざんすることが必要になります。これによりこの脆弱性を不当に利用する危険性は減りますが、利用できなくすることはできません。したがって、アップデートでは、セキュリティの弱点を簡単に利用できなくても、主な改善点として対処する必要があります。
証明書を再生成する必要はありますか?
いいえ。この問題は、証明書またはプライベートキー情報の漏洩にはつながりません。
この問題に影響されるかどうかを確認するにはどうしたら良いですか?この問題が存在するかどうかをリモートでテストすることはできませんか?
OpenSSL のすべてのバージョンが、この問題の影響を受けます。製品別に解決方法を確認してください。
Red Hat Enterprise Linux
Red Hat Enterprise Virtualization
Red Hat JBoss Middleware
Red Hat Storage
Red Hat Access Labs は CCS Injection Detector をリリースしました。これにより、この脆弱性に対処するパッチがシステムにインストールされているかどうかを確認することができます。
アップデートが適切に動作しているかを確認するにはどうしたら良いですか?
Access Labs CCS Injection Detector を使用すると、アップデートがきちんと適用されているかを確認することができます。
アップデートせずにこの問題を軽減する方法はありますか?
この問題を軽減する既知の方法はありません。この問題を修正する唯一の方法は、アップデートした OpenSSL パッケージをインストールして、影響を受けるサービスを再起動することです。
この問題は、その他のTLS ライブラリに影響を及ぼしますか?
Red Hat は、この問題について NSS および GnuTLS ライブラリを精査しました。これらのライブラリはこの問題の影響を受けないことが判明しています。
バージョン 1.0.1 を実行していない場合でも、OpenSSL パッケージをアップデートする必要はありますか?
Red Hat は、使用しているバージョンに関わらず、OpenSSL パッケージをアップデートすることを推奨します。詳細については上記を参照してください。
この問題は実際に存在していますか?
この問題が公表された時、Red Hat はこの問題に対するセキュリティの脆弱性については認知しておらず、問題も存在していませんでした。Red Hat は、この問題についてセキュリティ上の弱点が記載されたと認識していますが、これを利用するには、攻撃者がリアルタイムでネットワークトラフィックを遮断して改ざんする必要があります。
Red Hat は、この問題についていつ確認しましたか?
2014 年 5 月 1 日に、OpenSSL チームがこの問題について報告をうけ、2014 年 6 月 2 日に Red Hat およびその他の OS ディストリビューションに通知がありました。この問題は、2014 年 6 月 5 日に公表されました。
攻撃者は、この問題をどのように処理していますか?
この問題は、脆弱性のある OpenSS サーバーと通信する脆弱性のある OpenSSL クライアントに対して、中間者の攻撃を可能にしています。そのため、攻撃者は、保護されたトラフィックを表示したり修正したりできるようになります。攻撃者は、パーティ間の通信におけるネットワークトラフィックにアクセスし、変更する方法が必要になります。この OpenSSL 問題だけでは、ネットワークトラフィックにアクセスすることができません。
Red Hat のセキュリティアドバイザリーに、CVE ID が複数記載されているのはなぜですか?
OpenSSL は、最新のアップデートでいくつかの問題を修正しています。Red Hat のアップデートは、さまざまなバージョンの OpenSSL に関連する問題を修正します。この問題は、最も重大な問題とされているため、Red Hat は追加情報を提供しています。
Comments