金曜日, 6月 18, 2010

OpenSSL 「EVP_PKEY_verify_recover()」のセキュリティバイパス問題(CVE-2010-1633)

本件セキュリティ問題について下記のソフトとOSに影響があります↓
OpenSSL 1.0.0
RedHat Fedora 13
RedHat Fedora 12

問題の説明は下記となります↓
OpenSSLのソースにバグがあり、セキュリティバイパス攻撃される可能性が高いです。原因は「 EVP_PKEY_verify_recover()」のデサインエラーです。「 EVP_PKEY_verify_recover()」のfunction自体はOpenSSLバーション1.0.0しか入ってません。再現仕方について標準SSLツールで再現が出来ます。

解決方法は下記となります↓
OpenSSL Project openssl-1.0.0a.tar.gz
http://www.openssl.org/source/openssl-1.0.0a.tar.gz

追加情報↓
Class: Unknown
CVE: CVE-2010-1633
Remote: Yes
Local: No
Published: Jun 01 2010 12:00AM
Updated: Jun 17 2010 07:19AM
Credit: Peter-Michael Hager

リファレンス↓

---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター

0 件のコメント:

コメントを投稿