OpenSSL 1.0.2 < 1.0.2kの複数の脆弱性

medium Nessus プラグイン ID 96873

Language:

概要

リモートサービスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている OpenSSL のバージョンは、1.0.2k より前です。したがって、1.0.2k のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- 1.0.2k より前の1.0.2、1.1.0d より前の1.1.0の OpenSSL には、x86_64 Montgomery 二乗プロシージャにキャリー伝播のバグがあります。EC アルゴリズムは影響を受けません。分析によれば、この欠陥の結果を使用して RSA と DSA に対する攻撃を実行するのは非常に難しく、その可能性は低いと考えられます。DH に対する攻撃は、秘密鍵に関する情報の推測に必要な作業のほとんどがオフラインで実行される可能性があるため、(実行は非常に困難ではあるものの) 可能であると考えられます。そのような攻撃に必要なリソースの量は非常に多く、実行できる攻撃者の数は限られていると考えられます。永続的なDHパラメーターと複数のクライアントで共有される秘密鍵があるシナリオでは、攻撃者は標的の秘密鍵を使用して、パッチが適用されていないシステムへオンラインでアクセスする必要があります。たとえば、これはOpenSSL DHEベースのSSL/TLS暗号スイートでデフォルトで発生する可能性があります。注意: この問題は CVE-2015-3193 と非常に似ていますが、別の問題として扱う必要があります。(CVE-2017-3732)

- SSL/TLS サーバーまたはクライアントが 32 ビットホストで実行され、特定の暗号が使用されている場合、切り捨てられたパケットにより、そのサーバーまたはクライアントが領域外読み取りを実行し、通常はクラッシュを引き起こす可能性があります。OpenSSL 1.1.0の場合、CHACHA20/POLY1305を使用するとクラッシュをトリガーできます。ユーザーは1.1.0dにアップグレードする必要があります。Openssl 1.0.2 の場合、RC4-MD5 を使用するとクラッシュをトリガーできます。そのアルゴリズムを無効にしていないユーザーは 1.0.2k に更新する必要があります。(CVE-2017-3731)

- OpenSSL 1.0.2 および 1.1.0c より前の 1.1.0 における Broadwell 固有のモントゴメリ乗算プロシージャに、割り切れる入力長を処理しますが、256 ビットを超えた場合に処理できないキャリー伝播のバグがあります。分析によれば、RSA、DSA、DH 秘密鍵に対しては攻撃を実行できないと考えられます。これは、問題のサブルーチンが、秘密鍵自体と攻撃者が直接選択した入力を使用する操作で使用されていないことが原因です。使用されていれば、バグは一時的な認証とキーネゴシエーションの失敗、または特別に細工された入力を使用した公開鍵操作で再現可能なエラー結果として顕在化されます。ECアルゴリズムの中では、Brainpool P-512カーブのみが影響を受けるため、ECDHキーネゴシエーションを攻撃を受けると考えられます。攻撃の前提条件はほとんどないと考えられるため、影響は詳細に分析されていませんでした。つまり、複数のクライアントが問題の曲線を選択する必要があり、サーバーは秘密鍵をクライアント間で共有する必要がありますが、どちらもデフォルトの動作ではありません。その場合でも、曲線を選択したクライアントのみが影響を受けます。(CVE-2016-7055)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。