blob: e2cf5aec05098e7d0aba7dabb9b5d22af00bf259 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
|
<define-tag description>リモートからの複数種類の攻撃</define-tag>
<define-tag moreinfo>
<p>OpenSSL 開発チームは、 DAPRA CHATS プログラム下における
A.L. Digital 社と The Bunker 社のセキュリティ監査により、
OpenSSL コードにリモートから攻撃可能なバッファオーバーフロー
を起こす箇所が発見されたとのアナウンスを出しました。
加えて、上記とは独立に、Adi Stav さんと James Yonan さんによって
OpenSSL のASN1 パーザに潜在的な DoS 攻撃に対する脆弱性が発見されました。</p>
<p>CAN-2002-0655 には、64ビットプラットフォームでの ASCII の整数表現を
保持するのに使われるバッファでのオーバーフローについて記載されています。
また、CAN-2002-0656 には、SSL2 サーバの実装 (サーバに不正な鍵を送った
場合) と、SSL3 クライアントの実装 (巨大なセッション ID をクライアント
に送った場合) のバッファオーバーフローの問題が記載されています。
SSL2 のほうの問題は、Neohapsis によっても報告されており、この問題に
対する攻撃コードのデモを非公開で行っています。
CAN-2002-0659 には、ANS1 パーザの DoS 問題が記載されています。</p>
<p>これらの脆弱性は、Debian 3.0 (woody) で、それぞれ
openssl094_0.9.4-6.woody.2、openssl095_0.9.5a-6.woody.1、
openssl_0.9.6c-2.woody.1 の各バージョンで修正されています。</p>
<p>この脆弱性は Debian 2.2 (potato) にもあります。
openssl094_0.9.4-6.potato.2 と openssl_0.9.6c-0.potato.4
で修正されています。
</p>
<p>インターネットに接続されたホストにおけるこの脆弱性を探して、
ワームが活動中です。OpenSSL をできるだけ早くアップグレードすることを
お勧めします。SSL を使う全てのデーモン (例えば ssh や、ssl
を有効にした apache など) を再起動しないといけないことに注意してください。
どのプログラムが SSL を使用しているか分からないときは、
リブートして、実行中の全てのデーモンが確実に新しいライブラリを用いる
ようにするのもよいでしょう。</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2002/dsa-136.data"
#use wml::debian::translation-check translation="55a70d0c0f3df8d4df237334ac6de72daaa99f73"
|
