path: root/japanese/security/2003/dsa-288.wml

<define-tag description>いくつかの脆弱性</define-tag>
<define-tag moreinfo>
<p>研究者たちにより、Secure Socket Layer (SSL) のライブラリと
暗号化ツールの実装である OpenSSL に、二つの問題が発見されました。
このライブラリとリンクしているアプリケーションは、通常攻撃により
サーバの秘密鍵の漏曳や、暗号化されたセッションを他の方法で
復号化可能になるなどの脆弱性があります。
The Common Vulnerabilities and Exposures (CVE) プロジェクトは、
以下の脆弱性を把握しています。

<dl>
<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0147">CAN-2003-0147</a></dt>

<dd>
OpenSSL はデフォルトでは RSA ブラインディングを使用しないため、
ローカルおよびリモートの攻撃者からサーバの秘密鍵を得られる
可能性があります。</dd>

<dt><a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0131">CAN-2003-0131</a></dt>

<dd>
SSL は、リモートの攻撃者に、認証されていない RSA 秘密鍵操作を許して
しまい、それによって OpenSSL が暗号化されたテキストと関連平文テキスト
の関係を漏曳してしまいます。
</dd>
</dl>

<p>現安定版 (stable)(woody) では、これらの問題はバージョン
0.9.6c-2.woody.3 で修正されています。
</p>

<p>旧安定版 (potato) では、これらの問題はバージョン
version 0.9.6c-0.potato.6 で修正されています。</p>

<p>不安定版 (unstable)(sid) では、これらの問題は、openssl のバージョン
0.9.7b-1 および  openssl096 のバージョン 0.9.6j-1 で修正されています。</p>

<p>openssl パッケージをアップグレードし、OpenSSL を用いるアプリケーション
を再起動することをお勧めします。</p>

<p>残念ながら、RSA ブラインディングはスレッドに対応しておらず、
スレッドと OpenSSL を両方使用する stunnel などのプログラムで
問題を起こします。
しかし、この件に関して提案されている修正はバイナリインターフェイス
(ABI) を変更するものであるため、OpenSSL に動的にリンクしているプログラム
は動作しなくなります。
これは、私たちにはどうしようもないジレンマです。
</p>

<p>したがって、スレッド未対応のセキュリティアップデートで良いのかどうかを
判断する必要があります。
それで良ければ、アップグレード後に明らかに動かなくなったアプリケーション
のみを再コンパイルしてください。
また、スレッド対応が必要ならば、この勧告の最後にある追加の
ソースパッケージを入手し、スレッド対応の OpenSSL を作成し、
同時に OpenSSL ライブラリを使用するアプリケーション
(apache-ssl、mod_ssl、ssh など) をすべて再コンパイルしてください。</p>

<p>しかし、スレッドを使用して OpenSSL ライブラリにリンクしている
パッケージはごくわずかしかないので、ほとんどのユーザはこのパッケージを
問題なく利用することが可能と考えられます。</p>
</define-tag>

#use wml::debian::translation-check translation="793ef2aaf7ac1e7953d45aed262afca75ae7986e"
# do not modify the following line
#include "$(ENGLISHDIR)/security/2003/dsa-288.data"
# $Id$