先月Redhatで公開されたOpensslの脆弱性調査をしています。
下記CVEがパッチ適用する脆弱性となるのかご教示ください。
当方は、ワードプレスでホームページを公開しているWebサーバです。(CentOS6 + Apache2.2)
この前証明書も導入しましたが、OpenSSLの脆弱性が該当するバージョンを利用しております。
該当の脆弱性内容をJVNVUから引用いたします。
http://jvn.jp/vu/JVNVU95113540/
PSS パラメータに細工した証明書の検証時にクラッシュする問題 (CVE-2015-3194) - 重要度:中
RSA-PSS アルゴリズムを使用し、マスク生成関数のパラメータが存在しない ASN.1 形式署名データの署名検証を行うと、NULL ポインタ参照によってクラッシュします。本脆弱性を使用した攻撃によって証明書の署名検証処理がクラッシュし、サービス運用妨害 (DoS) 状態となります。証明書検証を行うすべてのアプリケーション、すなわち、SSL/TLS 通信を行うクライアントアプリケーションおよび、クライアント認証を行うサーバアプリケーションが本脆弱性の影響を受けます。
本脆弱性は OpenSSL version 1.0.2 系および 1.0.1 系に存在します。X509_ATTRIBUTE によるメモリリーク (CVE-2015-3195) - 重要度:中
細工された X509_ATTRIBUTE を処理することで、OpenSSL でメモリリークが発生します。X509_ATTRIBUTE は PKCS#7 と暗号メッセージ構文 (CMS) に関する処理で使用されているため、信頼できない情報源から PKCS#7 または CMS データを読み込む全てのアプリケーションが本脆弱性の影響を受けます。SSL/TLS は本脆弱性の影響を受けません。
本脆弱性は OpenSSL version 1.0.2 系、1.0.1 系、1.0.0 系および 0.9.8 系に存在します。PSK identity hint の処理における競合状態 (CVE-2015-3196) - 重要度:低
マルチスレッドのクライアントが PSK identity hint を受け取ると、SSL_CTX 構造が誤った値で更新されます。これにより競合状態が発生し、PSK identity hint データの二重解放が発生する可能性があります。
本脆弱性は OpenSSL version 1.0.2 系、1.0.1 系および 1.0.0 系に存在します。
ネットで検索するなど調べた結果、CVE-2015-3195とCVE-2015-3196についてはアップデートする必要性は低いことが判断できました。
しかしCVE-2015-3194に関しては一般的なWebサーバが影響を受けてしまうのか、アップデートが必要なのか判断出来かねています。
ASN.1 形式署名データの署名検証がトリガーとなっているように読み取れますが、悪意を持ったクライアントが意図的に実施できる操作ということでしょうか?
以上です。よろしくお願いいたします。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/01/08 02:13