JVNDB-2008-001376
|
Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性
|
|
Debian GNU/Linux およびその派生オペレーティングシステムに含まれる OpenSSL パッケージには予測可能な乱数が生成される脆弱性が存在します。
この脆弱性は、不具合のある OpenSSL パッケージで生成された鍵を使用するアプリケーションにおいて影響を受けます。影響を受ける鍵は、SSH 鍵、OpenVPN 鍵、DNSSEC 鍵、X.509 証明書を生成するのに使われる鍵データ、および SSL/TLS コネクションに使うセッション鍵などです。
2006年9月17日およびそれ以降に生成された鍵は影響を受ける可能性があります。
また、本脆弱性は、Debian や Ubuntu および他の Debian から派生したオペレーティングシステムの OpenSSL パッケージに固有の問題となります。当該システムによって生成された鍵が他のシステムで使用されている場合、影響を受ける可能性があります。
|
|
CVSS v3 による深刻度
基本値: 7.5 (重要) [NVD値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 7.8 (危険) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 全面的
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
|
Canonical
- Ubuntu 7.04
- Ubuntu 7.10
- Ubuntu 8.04-lts
Debian
|
|
|
影響を受けるシステムに対して、ブルートフォース攻撃を受けることで鍵情報が推測される可能性があります。また、本脆弱性をもちいた Man in the Middle 攻撃が行われる可能性もあります。
|
|
[アップデートする]
ベンダより公開されている最新バージョンへアップデートしてください。
[鍵を再生成する]
最新バージョンへアップデートしたあと再度鍵を生成してください。
|
|
Canonical
Debian
|
|
- 暗号における脆弱な PRNG の使用(CWE-338) [NVD評価]
|
|
- CVE-2008-0166
|
|
- JVN : JVNTA08-137A
- JVN : JVNVU#925211
- JVN Status Tracking Notes : TRTA08-137A
- National Vulnerability Database (NVD) : CVE-2008-0166
- JPCERT 緊急報告 : JPCERT-AT-2008-0008
- US-CERT Vulnerability Note : VU#925211
- US-CERT Technical Cyber Security Alert : TA08-137A
- SecurityFocus : 29179
|
|
- [2008年06月10日]
掲載
- [2024年02月28日]
CVSS による深刻度: 内容を更新
CWE による脆弱性タイプ一覧:内容を更新
|
