過去のセキュリティアナウンス
　　2000 2001 2002 2003 2004

CERT Coordination Center Advisory に対しての対応
　　2003 2004



openssl

疑似乱数発生関数の内部状態を暴露してしまう問題

リリース日付 : 2001-7-17

対策パッケージ : openssl-0.9.6b-1

問題点
攻撃者がOpenSSLの疑似乱数発生関数の内部状態を再構成できることにより、乱数のプールと、連携する関数に問題があることが報告されました。
この問題を悪用した攻撃者が疑似乱数発生関数の状態を知った場合、将来の発生値を予測可能となります。

対策
以下のコマンドを実行し、バージョンをご確認ください。
# rpm -qa | grep openssl

この問題に該当する場合は、最新パッケージをダウンロードし、以下のコマンドによってパッケージのアップデートを行ってください。
なお、バージョン番号については、ダウンロードしたパッケージ番号に読み替えて実行してください。

# rpm -Uvh openssl-0.9.6b-1.i386.rpm

【openssl アップデート時のご注意】

openssl-0.9.6bへアップデートする際に以下のパッケージを使用しているお客様は注意が必要です。

openssh apache
mod_ssl

これらのパッケージは、opensslに強く依存しています。
従って、opensslのみアップデートされた場合,今まで正常に動作していたものが、動作しなくなります。
特にOpenSSL を使用して Secure Web Server(https) を利用している場合は、mod_ssl パッケージを手動で選択しなければならないので注意が必要です。
openssh,apache,mod_sslを使用しているお客様は、必ず以下のpackageにアップデートしてください。

---openssh---
openssh-2.9p2-2.i386.rpm
openssh-askpass-2.9p2-2.i386.rpm
openssh-askpass-gnome-2.9p2-2.i386.rpm
openssh-clients-2.9p2-2.i386.rpm
openssh-server-2.9p2-2.i386.rpm

---apache---
apache-1.3.19-5.i386.rpm
apache-devel-1.3.19-5.i386.rpm
apache-manual-1.3.19-5.i386.rpm

---mod_ssl---
mod_ssl-2.8.3-5.i386.rpm

Package Update Path