GnuTLSに一連の脆弱性が発見されました。これにより、攻撃者が特定の暗号タイプとのTLS接続で、プレーンテキストを復元する可能性がありました。

CVE-2018-10844

HMAC-SHA-256のGnuTLS実装は、Lucky Thirteenスタイルの攻撃に対して脆弱であることが判明しました。リモートの攻撃者がこの欠陥を悪用し、細工されたパケットを使用してタイミングデータを統計的に分析することにより、識別攻撃やプレーンテキストリカバリ攻撃を実行する可能性があります。

CVE-2018-10845

HMAC-SHA-256のGnuTLS実装は、Lucky Thirteenスタイルの攻撃に対して脆弱であることが判明しました。リモートの攻撃者がこの欠陥を悪用し、細工されたパケットを使用してタイミングデータを統計的に分析することにより、識別攻撃やプレーンテキストリカバリ攻撃を実行する可能性があります。

CVE-2018-10846

クロスVM攻撃設定でプレーンテキストの復元につながる、GnuTLS実装にキャッシュベースのサイドチャネルが見つかりました。攻撃者が、「ジャストインタイム」 Prime+Probe攻撃とLucky-13攻撃を組み合わせて、プレーンテキストを復元する可能性があります。

Debian 8「Jessie」では、これらの問題はバージョン3.3.30-0+deb8u1で修正されました。上流の修正は侵略の可能性を助長してしまい、暗号リストを変更する必要があったため、3.3.xブランチの最新のアップストリームバージョンに更新することがより実用的であることが判明しました。これにより、将来のLTS更新も容易になります。

したがってこの変更には、NEWSファイルで文書化されている、以下の重要なポリシー変更も含まれます。

  - ARCFour（RC4）およびSSL 3.0は、デフォルトの優先度リストに含まれなくなりました。これらは、「NORMAL: +ARCFOUR-128」または「NORMAL: +VERS-SSL3.0」のような文字列で、それぞれ暗黙的に有効にする必要があります。

  - HMAC-SHA384およびSHA256を利用する暗号が、デフォルトの優先度文字列から削除されました。これらは互換性やその他の目的で必要とされてはおらず、いずれもレガシーTLS CBCブロックモードに依存するため、対応するSHA1よりも利点はありません。

  - RFC5280の推奨事項に厳密に従い、2050年より前の日付にはUTCTimeを使用してください。

  - BERルールの複雑さに起因する問題を軽減するために、証明書、OCSPリクエスト、秘密鍵、CRL、および証明書リクエストに関する厳格なDERエンコーディングが必要になります。

  - 拡張機能を含むv1またはv2の証明書のインポートを拒否します。

APIおよびABIの互換性は維持されていますが、新しいシンボルが追加されています。このアップロードには、多くのバグ修正も含まれています。詳細については、提供されているアップストリームの変更ログを参照してください。

重大な破損が生じないように、gnutls28パッケージをアップグレードすることをお勧めします。

注: Tenable Network Securityは、前述の記述ブロックをDLAセキュリティアドバイザリーから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

検出

Debian DLA-1560-1: gnutls28のセキュリティ更新

medium Nessus プラグイン ID 118504

バージョン 1.6