2015年3月20日金曜日

OpenSSLで3/19日に公開すると言われていた内容をバージョンで再整理してみた

OpenSSLが3/19(現地時間)に公開するとアナウンスしていた「大量のバグフィクス」が公開されました。

https://www.openssl.org/news/secadv_20150319.txt

アナウンスをOpenSSLのバージョン毎に簡単に整理してみました。

こうしてみると、内部情報の漏えいや通信内容の漏えいにつながるのは、1.0.1/1.0.0/0.9.8のFREAK対策のCVE-2015-0204くらいしか見当たりません。
なので、とりあえずHeart Bleedみたいほど大騒ぎしないで済みそうです。

また、「重要度:高」のものは、FREAK対策以外では1.0.2でDoSになるというCVE-2015-0291のみです。

あと、若干気になるのは、「重要度:低」ですが、CVE-2015-0285でしょうか。ClientHelloで渡されるPRNG(疑似乱数生成関数)に渡す「種」が0になるエラーなので、常に同じ乱数系列を生成してしまうことになり、通信内容が解読される恐れがありそうです。これはちょっとソースコードに当たってみます。

総じて評価としては、「可及的に速やかにパッチを当てるべきだが、緊急とまでは言えない」というところでしょうか・・・?

1.0.2:
CVE-2015-0291 High     DoS
CVE-2015-0290 Moderate 1.0.2で機能追加されたmultiblock機能のNULLポインタバグ
CVE-2015-0207 Moderate DTLSv1_listenでSIGSEG
CVE-2015-0286 Moderate ASN1_TYPE_cmpでSIGSEG
CVE-2015-0208 Moderate 不正PSSパラメータでSIGSEG
CVE-2015-0287 Moderate ASN.1構造体でメモリ再利用にエラー
CVE-2015-0289 Moderate PKCS7でNULLポインタ参照
CVE-2015-0293 Moderate SSLv2サーバでassert()によるDoS
CVE-2015-1787 Moderate サイファースイートにDHE選択時、サイズ0のClientKeyExchangeでSIGSEG DoSになる
CVE-2015-0285 Low PRNGのシードが0でハンドシェーク
CVE-2015-0209 Low 開放済メモリの使用
CVE-2015-0288 Low X509_toX509_REQでNULLポインタの参照


1.0.1:
CVE-2015-0204 High Downgrade EXPORT_RSA
CVE-2015-0286 Moderate ASN1_TYPE_cmpでSIGSEG
CVE-2015-0287 Moderate ASN.1構造体でメモリ再利用にエラー
CVE-2015-0289 Moderate PKCS7でNULLポインタ参照
CVE-2015-0292 Moderate 不正なBase64データでSIGSEGまたはメモリ不正
CVE-2015-0293 Moderate SSLv2サーバでassert()によるDoS
CVE-2015-0209 Low 開放済メモリの使用
CVE-2015-0288 Low X509_toX509_REQでNULLポインタの参照


1.0.0:
CVE-2015-0204 High Downgrade EXPORT_RSA
CVE-2015-0286 Moderate ASN1_TYPE_cmpでSIGSEG
CVE-2015-0287 Moderate ASN.1構造体でメモリ再利用にエラー
CVE-2015-0289 Moderate PKCS7でNULLポインタ参照
CVE-2015-0292 Moderate 不正なBase64データでSIGSEGまたはメモリ不正
CVE-2015-0293 Moderate SSLv2サーバでassert()によるDoS
CVE-2015-0209 Low 開放済メモリの使用
CVE-2015-0288 Low X509_toX509_REQでNULLポインタの参照

0.9.8:
CVE-2015-0204 High Downgrade EXPORT_RSA
CVE-2015-0286 Moderate ASN1_TYPE_cmpでSIGSEG
CVE-2015-0287 Moderate ASN.1構造体でメモリ再利用にエラー
CVE-2015-0289 Moderate PKCS7でNULLポインタ参照
CVE-2015-0292 Moderate 不正なBase64データでSIGSEGまたはメモリ不正
CVE-2015-0293 Moderate SSLv2サーバでassert()によるDoS
CVE-2015-0209 Low 開放済メモリの使用
CVE-2015-0288 Low X509_toX509_REQでNULLポインタの参照

投稿者 時刻:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)