【活用ガイド】

JVNDB-2011-001685

Erlang/OTP SSH ライブラリで生成される乱数が推測可能な問題

概要

Erlang/OTP SSH ライブラリには、生成される乱数が推測可能な問題が存在します。

Erlang/OTP SSH ライブラリは、生成した乱数を用いて様々な暗号化処理を行います。Erlang/OTP SSH ライブラリで実装されている乱数生成の手法には、生成された乱数が推測可能な問題が存在します。

発見者の報告では以下のように記載されています。

The Erlang/OTP ssh library implements a number of cryptographic operations that depend on cryptographically strong random numbers. Unfortunately the RNG used by the library is not cryptographically strong, and is further weakened by the use of predictable seed material. The RNG (Wichman-Hill) is not mixed with an entropy source.

The seed used for all ssh connections in the library is the current time (to approximately microsecond resolution). By observing the time a connection from this library is established, the first two components of the three RNG seed can be guessed.The third component can be recovered by brute-force; trying each possible value (1..1000000).

Guessing the exact seed is made easier by the 16 byte random session cookie that the library will send in its plaintext kexinit message. This cookie will be bytes 17-32 of the RNG sequence.

Once the session RNG seed is recovered, an attacker can simply perform the same DH key exchange operation as the SSH library and recover the session secret. Additionally, if the ssh library is used on the server side of the connection and DSA host key is used, the private key can be recovered from the kex_dh messages. The secret signing value k is known from the RNG seed (bytes 170 - 190 of the sequence), so with the public DSA key data in the kex_dh_reply message the private part can be recovered by inverting the signature operation.
CVSS による深刻度 (CVSS とは?)

CVSS v2 による深刻度
基本値: 7.8 (危険) [NVD値]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 全面的
  • 完全性への影響(I): なし
  • 可用性への影響(A): なし
影響を受けるシステム

なお、Erlang/OTP SSH ライブラリを実装している製品が本脆弱性の影響を受ける可能性があります。 詳しくは US-CERT Vulnerability Note VU#178990 が提供する情報をご確認ください。

ERLANG
  • Erlang/OTP バージョン R14B03 より前のバージョン

想定される影響

第三者により SSH セッションキーや DSA ホストキーなどが取得される可能性があります。
対策

[アップデートする]
開発者が提供する情報をもとにアップデートを適用してください。

アップデートの適用後、SSH セッションキーや DSA ホストキーなどを変更することが推奨されています。
ベンダ情報

ERLANG
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 暗号の問題(CWE-310) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2011-0766
参考情報

  1. JVN : JVNVU#178990
  2. National Vulnerability Database (NVD) : CVE-2011-0766
  3. US-CERT Vulnerability Note : VU#178990
  4. Secunia Advisory : SA44709
  5. SecurityFocus : 47980
更新履歴

  • [2011年06月08日]
      掲載

公表日2011/05/26
登録日2011/06/08
最終更新日2011/06/08