質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

89.98%

【脆弱性】【CVE-2015-3194】OpenSSLのパッチ適用可否について

解決済

回答 1

投稿

  • 評価
  • クリップ 1
  • VIEW 1,668

dakahii

score 22

先月Redhatで公開されたOpensslの脆弱性調査をしています。
下記CVEがパッチ適用する脆弱性となるのかご教示ください。

当方は、ワードプレスでホームページを公開しているWebサーバです。(CentOS6 + Apache2.2)
この前証明書も導入しましたが、OpenSSLの脆弱性が該当するバージョンを利用しております。

該当の脆弱性内容をJVNVUから引用いたします。

http://jvn.jp/vu/JVNVU95113540/


PSS パラメータに細工した証明書の検証時にクラッシュする問題 (CVE-2015-3194) - 重要度:中
RSA-PSS アルゴリズムを使用し、マスク生成関数のパラメータが存在しない ASN.1 形式署名データの署名検証を行うと、NULL ポインタ参照によってクラッシュします。本脆弱性を使用した攻撃によって証明書の署名検証処理がクラッシュし、サービス運用妨害 (DoS) 状態となります。証明書検証を行うすべてのアプリケーション、すなわち、SSL/TLS 通信を行うクライアントアプリケーションおよび、クライアント認証を行うサーバアプリケーションが本脆弱性の影響を受けます。
本脆弱性は OpenSSL version 1.0.2 系および 1.0.1 系に存在します。

X509_ATTRIBUTE によるメモリリーク (CVE-2015-3195) - 重要度:中
細工された X509_ATTRIBUTE を処理することで、OpenSSL でメモリリークが発生します。X509_ATTRIBUTE は PKCS#7 と暗号メッセージ構文 (CMS) に関する処理で使用されているため、信頼できない情報源から PKCS#7 または CMS データを読み込む全てのアプリケーションが本脆弱性の影響を受けます。SSL/TLS は本脆弱性の影響を受けません。
本脆弱性は OpenSSL version 1.0.2 系、1.0.1 系、1.0.0 系および 0.9.8 系に存在します。

PSK identity hint の処理における競合状態 (CVE-2015-3196) - 重要度:低
マルチスレッドのクライアントが PSK identity hint を受け取ると、SSL_CTX 構造が誤った値で更新されます。これにより競合状態が発生し、PSK identity hint データの二重解放が発生する可能性があります。
本脆弱性は OpenSSL version 1.0.2 系、1.0.1 系および 1.0.0 系に存在します。


ネットで検索するなど調べた結果、CVE-2015-3195とCVE-2015-3196についてはアップデートする必要性は低いことが判断できました。
しかしCVE-2015-3194に関しては一般的なWebサーバが影響を受けてしまうのか、アップデートが必要なのか判断出来かねています。
ASN.1 形式署名データの署名検証がトリガーとなっているように読み取れますが、悪意を持ったクライアントが意図的に実施できる操作ということでしょうか?

以上です。よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

CVE-2015-3194 は証明書の検証に問題があるとのことですので、主に SSL/TLSクライアントに影響がありますが、Apache httpd + mod_ssl で、クライアント証明書検証(SSLVerifyClient)を有効にしている場合は影響があります。

RHSA-2015:2617

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/01/08 11:13

    TaichiYanagiya さん

    いつもご回答ありがとうございます。
    SSLVerifyClientはデフォルト設定のままでnoneになっており、
    クライアント証明書検証は使用していないので、影響は受けないことが判明しました。

    #外部公開している一般的なWebサーバであればクライアント証明書検証は使用しないのが
    #推測できそうですが、基礎的な知識が不足しておりお恥ずかしい限りです。。

    ベストアンサーにさせていただきます。
    ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 89.98%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る