Hitach Incident Response Team

 1月11日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

OpenSSL 0.9.8zd、1.0.0p、1.0.1kリリース(2015/01/08)

 OpenSSL 0.9.8zd、1.0.0p、1.0.1kでは、サービス拒否攻撃、ダウングレード攻撃、なりすましなどを許してしまう8件の脆弱性を解決しています。

 脆弱性は、NULLポインター参照(NULL pointer dereference)やメモリーリークに起因し、DTLS処理においてサービス拒否攻撃を許してしまう脆弱性(CVE-2014-3571、CVE-2015-0206)、SSL 3.0のサポートを無効化するno-ssl3オプションを指定した場合に、サービス拒否攻撃を許してしまう脆弱性(CVE-2014-3569)、秘密鍵が露呈した場合に、その内容の解読を防ぐforward secrecyの喪失やダウングレード攻撃を許してしまう脆弱性(CVE-2014-3572、CVE-2015-0204)、クライアント証明書による認証のなりすましを許してしまう脆弱性(CVE-2015-0205)、符号化された署名を適切に処理しないために、なりすましを許してしまう脆弱性(CVE-2014-8275)、多倍長整数の処理が適切でないために、攻撃容易な乱数の生成を許してしまう脆弱性(CVE-2014-3570)です。

米シスコ NTPの脆弱性への対応(2014/12/26)

 ソーシャルメディア系、ネットワーク管理系、ルーター並びにスイッチ系、音声並びに、ビデオ会議系の製品にNTP 4.2.8で解決した、なりすましを許してしまう脆弱性(CVE-2014-9293、CVE-2014-9294)、任意のコード実行を許してしまう脆弱性(CVE-2014-9295)、エラー発生時に動作不備を起こす問題(CVE-2014-9296)が存在します。