お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

#1 2021-03-30 17:40:29

redred
メンバ
登録日: 2020-05-27

OpenSSLのパッチについて

Ubuntu 20.04LTS へのOpenSSLのパッチについて

私の環境で3月25日にOpensslのアップデートが入っていたのですが、
https://ubuntu.com/security/CVE-2021-3449

最近公開された、これへの対応かと思いきや...
https://jvn.jp/vu/JVNVU92126369/

これって、まさか1年前に脆弱性が公開されているこれへのパッチでしょうか?
https://jvn.jp/vu/JVNVU97087254/
それとも昨年末のこっちへのパッチでしょうか?
https://jvn.jp/vu/JVNVU91053554/

リンク付ができなくて、詳しい方に見ていただけたらありがたいです。

公表されている脆弱性対応ってこんなに遅いのは普通なんでしょうか?

オフライン

 

#2 2021-03-31 07:10:14

ry
メンバ
登録日: 2008-07-30

Re: OpenSSLのパッチについて

OpenSSL のバージョンが 1.1.1f-1ubuntu2.3 なら CVE-2021-3449 が含まれてるみたいですね。

http://changelogs.ubuntu.com/changelogs … /changelog

オフライン

 

#3 2021-03-31 07:31:27

redred
メンバ
登録日: 2020-05-27

Re: OpenSSLのパッチについて

ry さん

情報ありがとうございます。

CVE-2021-3449は、下記のどれであるかが、もしお分かりでありましたら教えていただけますか?

①最近公表された脆弱性
https://jvn.jp/vu/JVNVU92126369/
②1年前に公表の
https://jvn.jp/vu/JVNVU97087254/
③昨年末の公表の
https://jvn.jp/vu/JVNVU91053554/

Ubuntuの脆弱性対応の早さがどんなものかを知っておきたくです。

オフライン

 

#4 2021-03-31 08:19:05

si
メンバ
From: hokkaido kitami, jp
登録日: 2007-01-15

Re: OpenSSLのパッチについて

小生の、20.04 の結果です。

$ cat /usr/share/doc/openssl/README

OpenSSL 1.1.1f 31 Mar 2020

$ sudo apt info libssl-doc
[sudo] si のパスワード:
Package: libssl-doc
Version: 1.1.1f-1ubuntu2.3

オフライン

 

#5 2021-03-31 08:27:58

redred
メンバ
登録日: 2020-05-27

Re: OpenSSLのパッチについて

si による投稿:

小生の、20.04 の結果です。

$ cat /usr/share/doc/openssl/README

OpenSSL 1.1.1f 31 Mar 2020

siさん

お知らせありがとうございます。

2020ってことは、②1年前に公表の
https://jvn.jp/vu/JVNVU97087254/
への脆弱性対応という意味でしょうか?

オフライン

 

#6 2021-03-31 10:54:12

si
メンバ
From: hokkaido kitami, jp
登録日: 2007-01-15

Re: OpenSSLのパッチについて

redred による投稿:

si による投稿:

小生の、20.04 の結果です。

$ cat /usr/share/doc/openssl/README

OpenSSL 1.1.1f 31 Mar 2020

siさん

お知らせありがとうございます。

2020ってことは、②1年前に公表の
https://jvn.jp/vu/JVNVU97087254/
への脆弱性対応という意味でしょうか?

いいえ
changelog の更新日を見ると、つい、先日(3月22日)更新されています。

$ ls -l /usr/share/doc/openssl/changelog.Debian.gz
lrwxrwxrwx 1 root root 32  3月 22 20:37 /usr/share/doc/openssl/changelog.Debian.gz -> ../libssl1.1/changelog.Debian.gz

中身は、ry さんが掲示した url と同じものです。

オフライン

 

#7 2021-03-31 11:08:41

redred
メンバ
登録日: 2020-05-27

Re: OpenSSLのパッチについて

siさん

ありがとうございます。

先日(3月22日)更新されているパッチは
①最近公表された脆弱性
https://jvn.jp/vu/JVNVU92126369/
に対処したものであり、
Ubuntuでの脆弱性対応は速攻で行われている、という理解ができるということでしょうか?

度々恐れ入ります。

オフライン

 

#8 2021-03-31 16:26:22

si
メンバ
From: hokkaido kitami, jp
登録日: 2007-01-15

Re: OpenSSLのパッチについて

changelog によると

openssl (1.1.1f-1ubuntu2.3) focal-security; urgency=medium

  * SECURITY UPDATE: NULL pointer deref in signature_algorithms processing
    - debian/patches/CVE-2021-3449-1.patch: fix NULL pointer dereference in
      ssl/statem/extensions.c.
    - debian/patches/CVE-2021-3449-2.patch: teach TLSProxy how to encrypt
      <= TLSv1.2 ETM records in util/perl/TLSProxy/Message.pm.
    - debian/patches/CVE-2021-3449-3.patch: add a test to
      test/recipes/70-test_renegotiation.t.
    - debian/patches/CVE-2021-3449-4.patch: ensure buffer/length pairs are
      always in sync in ssl/s3_lib.c, ssl/ssl_lib.c,
      ssl/statem/extensions.c, ssl/statem/extensions_clnt.c,
      ssl/statem/statem_clnt.c, ssl/statem/statem_srvr.c.
    - CVE-2021-3449

-- Marc Deslauriers <marc.deslauriers@ubuntu.com>  Mon, 22 Mar 2021 07:37:17 -0400

オフライン

 

#9 2021-03-31 16:52:33

rohizuka
メンバ
登録日: 2009-06-25

Re: OpenSSLのパッチについて

redredさん
https://jvn.jp/vu/JVNVU92126369/をよく読んでください

JVNVU#92126369
OpenSSL に複数の脆弱性
概要

OpenSSL には、複数の脆弱性が存在します。
影響を受けるシステム

CVE-2021-3449

    OpenSSL 1.1.1 系の全てのバージョン

CVE-2021-3450

    OpenSSL 1.1.1h から 1.1.1j までのバージョン

なお、OpenSSL 1.1.0 はサポートが終了しているため、本脆弱性の評価を実施していないとのことです。

オフライン

 

#10 2021-03-31 17:01:18

si
メンバ
From: hokkaido kitami, jp
登録日: 2007-01-15

Re: OpenSSLのパッチについて

追記
各バージョン、パッケージの対応は、下記参照して下さい。
https://ubuntu.com/security/CVE-2021-3450
https://ubuntu.com/security/CVE-2021-3449

脆弱性に関するものは対応は早いですよ。

オフライン

 

#11 2021-03-31 17:25:35

redred
メンバ
登録日: 2020-05-27

Re: OpenSSLのパッチについて

みなさん
ありがとうございます。

点が線で繋がりました。

https://ubuntu.com/security/CVE-2021-3449 (Canonical3/25公表)
OpenSSL のバージョンが 1.1.1f-1ubuntu2.3 で配信済み

①最近公表された脆弱性 (3/26公表)
https://jvn.jp/vu/JVNVU92126369/
★CVE-2021-3449
CVE-2021-3450

脆弱性対応は速攻で行われていると理解しました。
逆に、メジャーなUbuntu での対応を待ってから公表された、とも受け取れて安心できますね。

お世話になりました。

オフライン

 

Board footer

Powered by FluxBB