OpenSSL 証明書チェーン検証不備の脆弱性について (CVE-2015-1793)

先日明らかにされたセキュリティアラート: CVE-2015-1793
OpenSSL: Alternative chains certificate forgery
OpenSSLの証明書チェーンの検証不備の脆弱性について

OpenSSLプロジェクトによる Security Advisory [9 Jul 2015]
https://www.openssl.org/news/secadv_20150709.txt

本件の問題点と対策は以下の通りです。

■OpenSSLの証明書チェーンの検証不備の脆弱性問題点要約

OpenSSL は、証明書の検証において最初の証明書チェーンの構築に失敗した場合、代替の証明書チェーンの構築を試みますが、この処理の実装には不備があります。
その結果、例えば CA フラグが FALSE とされている証明書を使って発行された証明書を、不正なものであると検知せず、信頼している CA によって発行された証明書として扱ってしまう可能性があります。

■必要な対策

影響を受けるバージョン

OpenSSL 1.0.2c、1.0.2b
OpenSSL 1.0.1o、1.0.1n

修正されたバージョン

OpenSSL 1.0.2d
OpenSSL 1.0.1p

対策としてはOSベンダからリリースされた最新バージョンへアップデートすることとなっております。

■RedHat の見解:脆弱性の問題なし

RedHat の見解としては(当OSにおいては)今回の件は脆弱性ではない。影響はないものということです。

OpenSSL: Alternative chains certificate forgery vulnerability (CVE-2015-1793)
https://access.redhat.com/solutions/1523323

CVE-2015-1793(RedHat)
https://access.redhat.com/security/cve/CVE-2015-1793

これは、RedHat が供給している OpenSSL は影響するバージョンではないからだと思われます。
CentOS も同様の扱いになります。

■対策実施なし

当サービスでは現状すべてのユーザーが CentOS であるため、今回はアップデートは実施しません。

コメントを残す