Ubuntu日本語フォーラム

redred · 2021-03-30 17:40:29

Ubuntu 20.04LTS へのOpenSSLのパッチについて

私の環境で3月25日にOpensslのアップデートが入っていたのですが､
https://ubuntu.com/security/CVE-2021-3449

最近公開された､これへの対応かと思いきや...
https://jvn.jp/vu/JVNVU92126369/

これって､まさか1年前に脆弱性が公開されているこれへのパッチでしょうか?
https://jvn.jp/vu/JVNVU97087254/
それとも昨年末のこっちへのパッチでしょうか?
https://jvn.jp/vu/JVNVU91053554/

リンク付ができなくて､詳しい方に見ていただけたらありがたいです｡

公表されている脆弱性対応ってこんなに遅いのは普通なんでしょうか?

ry · 2021-03-31 07:10:14

OpenSSL のバージョンが 1.1.1f-1ubuntu2.3 なら CVE-2021-3449 が含まれてるみたいですね。

http://changelogs.ubuntu.com/changelogs … /changelog

redred · 2021-03-31 07:31:27

ry さん

情報ありがとうございます｡

CVE-2021-3449は､下記のどれであるかが､もしお分かりでありましたら教えていただけますか?

①最近公表された脆弱性
https://jvn.jp/vu/JVNVU92126369/
②1年前に公表の
https://jvn.jp/vu/JVNVU97087254/
③昨年末の公表の
https://jvn.jp/vu/JVNVU91053554/

Ubuntuの脆弱性対応の早さがどんなものかを知っておきたくです｡

si · 2021-03-31 08:19:05

小生の、20.04 の結果です。

$ cat /usr/share/doc/openssl/README

OpenSSL 1.1.1f 31 Mar 2020

$ sudo apt info libssl-doc
[sudo] si のパスワード:
Package: libssl-doc
Version: 1.1.1f-1ubuntu2.3

redred · 2021-03-31 08:27:58

si による投稿:
小生の、20.04 の結果です。

$ cat /usr/share/doc/openssl/README

OpenSSL 1.1.1f 31 Mar 2020

siさん

お知らせありがとうございます｡

2020ってことは､②1年前に公表の
https://jvn.jp/vu/JVNVU97087254/
への脆弱性対応という意味でしょうか?

si · 2021-03-31 10:54:12

redred による投稿:
si による投稿:
小生の、20.04 の結果です。

$ cat /usr/share/doc/openssl/README

OpenSSL 1.1.1f 31 Mar 2020
siさん

お知らせありがとうございます｡

2020ってことは､②1年前に公表の
https://jvn.jp/vu/JVNVU97087254/
への脆弱性対応という意味でしょうか?

いいえ
changelog の更新日を見ると、つい、先日（３月２２日）更新されています。

$ ls -l /usr/share/doc/openssl/changelog.Debian.gz
lrwxrwxrwx 1 root root 32 3月 22 20:37 /usr/share/doc/openssl/changelog.Debian.gz -> ../libssl1.1/changelog.Debian.gz

中身は、ry さんが掲示した url と同じものです。

redred · 2021-03-31 11:08:41

siさん

ありがとうございます｡

先日（３月２２日）更新されているパッチは
①最近公表された脆弱性
https://jvn.jp/vu/JVNVU92126369/
に対処したものであり､
Ubuntuでの脆弱性対応は速攻で行われている､という理解ができるということでしょうか?

度々恐れ入ります｡

si · 2021-03-31 16:26:22

changelog によると

openssl (1.1.1f-1ubuntu2.3) focal-security; urgency=medium

* SECURITY UPDATE: NULL pointer deref in signature_algorithms processing
- debian/patches/CVE-2021-3449-1.patch: fix NULL pointer dereference in
ssl/statem/extensions.c.
- debian/patches/CVE-2021-3449-2.patch: teach TLSProxy how to encrypt
<= TLSv1.2 ETM records in util/perl/TLSProxy/Message.pm.
- debian/patches/CVE-2021-3449-3.patch: add a test to
test/recipes/70-test_renegotiation.t.
- debian/patches/CVE-2021-3449-4.patch: ensure buffer/length pairs are
always in sync in ssl/s3_lib.c, ssl/ssl_lib.c,
ssl/statem/extensions.c, ssl/statem/extensions_clnt.c,
ssl/statem/statem_clnt.c, ssl/statem/statem_srvr.c.
- CVE-2021-3449

-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 22 Mar 2021 07:37:17 -0400

rohizuka · 2021-03-31 16:52:33

redredさん
https://jvn.jp/vu/JVNVU92126369/をよく読んでください

JVNVU#92126369
OpenSSL に複数の脆弱性
概要

OpenSSL には、複数の脆弱性が存在します。
影響を受けるシステム

CVE-2021-3449

OpenSSL 1.1.1 系の全てのバージョン

CVE-2021-3450

OpenSSL 1.1.1h から 1.1.1j までのバージョン

なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

si · 2021-03-31 17:01:18

追記
各バージョン、パッケージの対応は、下記参照して下さい。
https://ubuntu.com/security/CVE-2021-3450
https://ubuntu.com/security/CVE-2021-3449

脆弱性に関するものは対応は早いですよ。

redred · 2021-03-31 17:25:35

みなさん
ありがとうございます｡

点が線で繋がりました｡

https://ubuntu.com/security/CVE-2021-3449 (Canonical3/25公表)
OpenSSL のバージョンが 1.1.1f-1ubuntu2.3 で配信済み

①最近公表された脆弱性 (3/26公表)
https://jvn.jp/vu/JVNVU92126369/
★CVE-2021-3449
CVE-2021-3450

脆弱性対応は速攻で行われていると理解しました｡
逆に､メジャーなUbuntu での対応を待ってから公表された､とも受け取れて安心できますね｡

お世話になりました｡

Ubuntu日本語フォーラム

お知らせ

#1 2021-03-30 17:40:29

OpenSSLのパッチについて

#2 2021-03-31 07:10:14

Re: OpenSSLのパッチについて

#3 2021-03-31 07:31:27

Re: OpenSSLのパッチについて

#4 2021-03-31 08:19:05

Re: OpenSSLのパッチについて

#5 2021-03-31 08:27:58

Re: OpenSSLのパッチについて

si による投稿:

#6 2021-03-31 10:54:12

Re: OpenSSLのパッチについて

redred による投稿:

si による投稿:

#7 2021-03-31 11:08:41

Re: OpenSSLのパッチについて

#8 2021-03-31 16:26:22

Re: OpenSSLのパッチについて

#9 2021-03-31 16:52:33

Re: OpenSSLのパッチについて

#10 2021-03-31 17:01:18

Re: OpenSSLのパッチについて

#11 2021-03-31 17:25:35

Re: OpenSSLのパッチについて

Board footer