読者です 読者をやめる 読者になる 読者になる

OpenSSL脆弱性(CVE-2015-1793)について

OpenSSLの脆弱性の修正版がリリースされました。(2015/7/9)

Alternative chains certificate forgery (CVE-2015-1793)

http://openssl.org/news/secadv_20150709.txt

 

2015/7/10 20:32 追記

ここでは ディストリビューションごとの影響有無を載せています。

脆弱性の仕組みは以下のエントリーが詳しく説明して下さっているので

ご覧ください

d.hatena.ne.jp

 

RedHat(CentOS)、Ubuntu(15.10以外)、SUSEの製品には影響がないと言われています。

OpenSSL CVE-2015-1793: Man-in-the-Middle Attack

 

RHEL

OpenSSL: Alternative chains certificate forgery vulnerability (CVE-2015-1793) - Red Hat Customer Portal

SUSE

https://www.suse.com/security/cve/CVE-2015-1793.html

Ubuntu

CVE-2015-1793 in Ubuntu

openssl source package in Wily

Wily (15.10) : openssl package : Ubuntu

 

コミュニティ版をご利用の場合はアップデートをするようにとのことです。

  • OpenSSL 1.0.2b/1.0.2c をご利用の場合は 1.0.2d へアップデート
  • OpenSSL 1.0.1n/1.0.1o をご利用の場合は 1.0.1p へアップデート

 

Alternative chains certificate forgery (CVE-2015-1793)

http://openssl.org/news/secadv_20150709.txt

リンクの内容を読んでみました。

 

今回の脆弱性が悪用されると、

中間攻撃によって本来なら無効で信頼できない証明書を

CA証明書として機能させることができてしまい、危険。

こんな感じでしょうか。