Red Hat 製品は Encrypt-Then-Mac 再交渉クラッシュ OpenSSL CVE-2017-3733 の影響を受けますか?
Environment
- 現在提供しているすべての Red Hat 製品
Issue
- Red Hat 製品は CVE-2017-3733 の影響を受けますか?
- CVE-2017-3733 のパッチは利用できますか?
- Encrypt-Then-Mac 再交渉クラッシュの詳細を教えてください。
Resolution
この問題は、現在提供している Red Hat 製品に同梱されている OpenSSL には影響を及ぼしません。
この報告された問題は、OpenSSL 1.1.0* のアップストリームパッケージに影響を及ぼしますが、アップストリームの 1.1.0e バージョンで修正されました。
Root Cause
OpenSSL は、2017 年 2 月 16 日に、CVE-2017-3733 に対するパッチを含む修正がリリースされました。
Encrypt-Then-Mac 拡張の再ネゴシエーション時に暗号化スイートを変更すると、OpenSSL 1.1.0 サーバーまたはクライアントがクラッシュします。
この問題は、ETM を使用するか、ETM のネゴシエーション時にはすぐ行わないか、CCS では行わないかを示すフラグを変更すると発生します。したがって、再交渉時に、(通常は暗号化スイートが変更するため) ETM 状態が変更すると、エラーやクラッシュが発生します。読み取りと書き込みに対して異なる CCS メッセージがあるため、ETM を使用するかどうかを決めるために、2 つのフラグが必要になります。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments