CVE-2016-2107:OpenSSL のパディングオラクル攻撃の脆弱性

Created:

2016-11-16 13:19:38 UTC

Modified:

2017-08-17 04:14:30 UTC

5

Was this article helpful?


Have more questions?

リクエストを送信

CVE-2016-2107:OpenSSL のパディングオラクル攻撃の脆弱性

Applicable to:

  • Plesk 12.5 for Linux
  • Plesk 11.x for Linux
  • Plesk 12.0 for Linux

情報

OpenSSL プロジェクトは、CVE-2016-2107、CVE-2016-2108、CVE-2016-2109 という脆弱性を含むセキュリティアップデートを 発表 しました。

接続に AES CBC 暗号が使用され、サーバが AES-NI をサポートしている場合、TLS/SSL および DTLS プロトコルで暗号化されたレコードの復号時に OpenSSL からタイミング情報が漏えいすることが判明しました。リモート攻撃者がこの脆弱性を悪用すると、TLS/SSL または DTLS サーバをパディングオラクルとして使用して、暗号化されたパケットから平文を取得できる危険性がありました。

この問題は、2015 年 4 月以前の OpenSSL バージョンが対象となります。この脆弱性を生じさせる不具合は、2015 年 4 月 18 日に修正され、2015 年 6 月 11 日のセキュリティリリースの一部としてリリースされました。この不具合によるセキュリティ上の影響は、その時点では知られていませんでした。以前のバージョンの OpenSSL では、ASN.1 がゼロ値を負の整数として表現して符号化することにより、バッファアンダーフローを発生させ、i2c_ASN1_INTEGER でアウトオブバウンドメモリ書き込みが可能になる可能性があります。

d2i_CMS_bio() などの関数を使用して BIO から ASN.1 データを読み込むと、短い無効な符号化により大量のメモリが割り当てられ、リソースを過剰に消費するか、メモリが枯渇する可能性があります。

解決策

  • RedHat 5 および CentOS 5 上の Plesk 12.5 は、 Plesk 12.5.30 MU#37 アップデートによって修正されました。
  • RedHat 5 および CentOS 5 上の Plesk 12.0 については、今後公開されるマイクロアップデートで修正される予定です。
  • RedHat 5 および CentOS 5 上の Plesk 11.0~11.5 については、アップデートのリリースに関する情報は未定です。

RedHat/CentOS 5 以外のすべての Linux ディストリビューションでは、Plesk はシステムの OpenSSL ライブラリを使用します。RedHat/CentOS 6 または Debian/Ubuntu 上にインストールされた Plesk 11.x~12.5 については、OS ベンダーからリリースされたアップデートを適用してサービスを再起動する必要があります。

RedHat/CentOS:

# yum update openssl
# service nginx restart
# service httpd restart

Debian/Ubuntu:

# apt-get upgrade openssl
# /etc/init.d/nginx restart
# /etc/init.d/apache2 restart

Plesk ではセキュリティ対策に真剣に取り組んでおります。お客様におかれましても、アップデートを早急に適用されますようお願いいたします。

ウェブサイトの脆弱性をチェックするには、 SSLlabs オンラインツール を使用して評価できます。

他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。