私家版 NetBSD セキュリティ勧告 日本語訳 ============================================================================= NetBSD Security Advisory 2003-001 (2003/03/04) * Encryption weakness in OpenSSL code ============================================================================= このメールは, current-users に流れた Subject: NetBSD Security Advisory 2003-001: Encryption weakness in OpenSSL code From: NetBSD Security Officer Date: Tue, 4 Mar 2003 01:32:28 -0500 (EST) Message-Id: <20030304063228.831A06E08C@hastur.home> を日本語訳したものです. 原文は PGP 署名されていますが, この日本語訳は PGP 署名されていません. 修正パッチ等の内容が改竄されていないことを確認するために PGP 署名の チェックを行なうには, 原文を参照してください. 日本語訳の詳細については, 文末の「A. 私家版 NetBSD セキュリティ勧告 日本語訳について」をご覧ください. [翻訳者: 佐藤 広生 ] --(ここから)----------------------------------------------------------------- NetBSD Security Advisory 2003-001 ================================= トピック: OpenSSL コードに含まれる暗号の弱点 (Encryption weakness in OpenSSL code) バージョン: NetBSD-current: 2003 年 2 月 21 日より前のソース NetBSD-1.6.1: 影響なし NetBSD-1.6: 影響あり NetBSD-1.5.3: 影響あり NetBSD-1.5.2: 影響あり NetBSD-1.5.1: 影響あり NetBSD-1.5: 影響あり NetBSD-1.4*: 影響なし pkgsrc: openssl-0.9.6gnb1 より前のものが影響あり。 影響範囲: 暗号鍵が不正使用される危険性がある。 (Cryptographic keys can be compromised.) 修正日: NetBSD-current: 2003 年 2 月 21 日 NetBSD-1.6 ブランチ: 2003 年 2 月 21 日 (1.6.1 は修正ずみ) NetBSD-1.5 ブランチ: 2003 年 2 月 27 日 pkgsrc: openssl-0.9.6gnb1 (およびそれ以降) 背景 - Abstract =============== OpenSSL ライブラリに含まれる SSL/TLS では、ブロック型暗号の パディングエラーと MAC 検証エラーを異なるエラーとして扱っています。 このことは、不正な SSL ストリームを処理する際に「そのストリームが どちらのエラーとして処理されるのか」という情報の漏洩を引き起こし、 ある種の適応タイミング攻撃を可能にします。 NetBSD では、SSL/TLS を使うサービスはデフォルトで有効になっていません。 しかし、これらのライブラリを構築してサービスを有効にすると、それは そのシステムにおいて、暗号鍵の不正使用が可能なセキュリティ上の 弱点となる可能性があります。 技術的な詳細 - Technical Details ================================ http://www.openssl.org/news/secadv_20030219.txt を参照してください。 回避方法と解決策 - Solutions and Workarounds ============================================ 次に示す手順は、ソースツリーを更新して再構築し、新しいバージョンの libssl をインストールすることで、libssl バイナリをアップグレード する方法を説明したものです。 アップグレード後には、実行中の libssl ライブラリを使うプログラムを 再起動するのを忘れないようにしてください。 もし、弱点を持った libssl と静的にリンクされたバイナリがある場合は、 それらを再構築する必要があります。 * NetBSD-current: 2003 年 2 月 21 日より前の NetBSD-current は、 2003 年 2 月 21 日、もしくはそれ以降の NetBSD-current に アップグレードする必要があります。 CVS ブランチ netbsd-current (別名 HEAD) において 更新が必要なファイルは、次のとおりです。 crypto/dist/openssl/ssl/s3_pkt.c CVS を使ってファイルを更新し、libssl を 再構築・再インストールするには、次のコマンドを実行してください。 # cd src # cvs update -d -P crypto/dist/openssl/ssl/s3_pkt.c # cd lib/libssl # make cleandir dependall # make install 訳注: 原文には s3_pkt.c のファイル名に誤記が含まれていましたが、 日本語版では修正してあります。 詳細は current-users に流れた投稿 <20030304074051.GU29760@old-ones.com> をご覧ください。 * NetBSD 1.6: まもなくリリースされる 1.6.1 へのアップグレードをおすすめします。 ソースを使ってアップグレードする必要がある場合は、 NetBSD 1.6 ブランチにおける 2003 年 2 月 21 日時点、あるいは それ以降のソースを使う必要があります。 CVS ブランチ netbsd-1-6 において 更新が必要なファイルは、次のとおりです。 crypto/dist/openssl/ssl/s3_pkt.c CVS を使ってファイルを更新し、libssl を 再構築・再インストールするには、次のコマンドを実行してください。 # cd src # cvs update -d -P -r netbsd-1-6 \ crypto/dist/openssl/ssl/s3_pkt.c # cd lib/libssl # make cleandir dependall # make install * NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3: 2003 年 2 月 27 日より前の NetBSD-1.5.x は、 2003 年 2 月 27 日、もしくはそれ以降の NetBSD-1.5 ブランチに アップグレードする必要があります。 CVS ブランチ netbsd-1-5 において 更新が必要なファイルは、次のとおりです。 crypto/dist/openssl/ssl/s3_pkt.c CVS を使ってファイルを更新し、libssl を 再構築・再インストールするには、次のコマンドを実行してください。 # cd src # cvs update -d -P -r netbsd-1-6 \ crypto/dist/openssl/ssl/s3_pkt.c # cd lib/libssl # make cleandir dependall # make install * NetBSD 1.4, 1.4.1, 1.4.2, 1.4.3: NetBSD-1.4.* のベースシステムには、OpenSSL が含まれていません。 pkgsrc からインストールしている場合は、pkgsrc 用の手順に 従ってください。 * pkgsrc: セキュリティ上の弱点は、バージョン 0.9.6gnb1 より前の openssl (pkgsrc/security/openssl) に含まれています。 openssl-0.9.6gnb1 か、もしくはそれ以降のものにアップグレード してください。この勧告の執筆時点では、0.9.6gnb1 が pkgsrc に 含まれています。 openssl に依存するパッケージは、'pkg_info openssl' を実行することで 調べることができます。pkgsrc パッケージを更新する方法にもよりますが、 それで表示されるパッケージのいくつかは、パッケージシステムによって 再構築されるかも知れません。試験的に用意されている 'make replace' ターゲットを使って更新する場合は、libssl.a と静的リンクされた バイナリを構築するすべてのパッケージを手動で更新する必要があります。 pkgsrc に静的にリンクされたバイナリがある場合は、再構築しなければ なりません。静的リンクされたバイナリは、次のコマンドを使って 調べることができます (注: もし LOCALBASE をデフォルトの /usr/pkg から 変更している場合は、pkgsrc バイナリをインストールしたディレクトリを 指定に含めるのを忘れないでください)。 file /usr/pkg/{bin,sbin,libexec}/* | grep static 謝辞 - Thanks To ================ Brice Canvel 氏 Alain Hiltgen 氏 Serge Vaudenay 氏, Martin Vuagnoux 氏 改訂履歴 - Revision History =========================== 2003-02-27 初版公開 詳細と参考資料 - More Information ================================= PGP 署名されたこの勧告の最新版は、次の場所から入手できます。 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-001.txt.asc NetBSD と、NetBSD のセキュリティに関する情報は、次の場所から入手できます。 http://www.NetBSD.ORG/ http://www.NetBSD.ORG/Security/ Copyright 2003, The NetBSD Foundation, Inc. All Rights Reserved. $NetBSD: NetBSD-SA2003-001.txt,v 1.4 2003/02/26 21:53:03 wiz Exp $ A. 私家版 NetBSD セキュリティ勧告 日本語訳 ============================================ 日本語訳は 佐藤 広生 が参考のために提供するものです. その内容についていかなる保証もいたしませんのでご注意ください. 日本語訳についてのご意見, ご要望, お問い合わせ等は 佐藤 広生 までお願いします.