公開日:2008.05.20 7:52 最終更新日:2008.05.23 3:57

TRTA08-137A
Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性

概要


Debian GNU/Linux およびその派生オペレーティングシステムに含まれる OpenSSL パッケージには予測可能な乱数が生成される脆弱性が存在します。

影響を受けるシステム
 - Debian 4.0
 - Ubuntu 7.04
 - Ubuntu 7.10
 - Ubuntu 8.04 LTS

時系列イベント


日時 (JST)内容
2008-05-21 02:11 シマンテック ThreatCON (2) => (1)
2008-05-17 06:56 SANS Internet Storm Center INFOcon back to green
2008-05-17 03:17 US-CERT TA08-137A: Microsoft Updates for Multiple Vulnerabilities
US-CERT メーリングリスト経由で Technical Cyber Security Alert 受信
2008-05-16 16:02 JPCERT/CC JPCERT-AT-2008-0007: Debian GNU/Linux に含まれる OpenSSL/OpenSSH の脆弱性に関する注意喚起
2008-05-16 08:29 Bugtraq Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit (ruby)
Debian SSH Key Tester
#Cid: debian_openssh_key_tester.rb
#Cid: 29179.rb
2008-05-16 06:27 シマンテック ThreatCON (2) => (2)
2008-05-16 00:30 SANS Internet Storm Center INFOCon yellow: update your Debian generated keys/certs ASAP (Version: 2)
2008-05-15 23:35 Bugtraq Remote Host Key Scanner
SSH Key Tester
#Cid: seb-test-vul-ssh-host-rel1.sh
2008-05-15 21:38 US-CERT Debian and Ubuntu OpenSSL and OpenSSH Vulnerabilities
US-CERT Current Activity として SSL, SSH の鍵生成部分の脆弱性を報告
2008-05-15 21:02 SANS Internet Storm Center Debian and Ubuntu users: fix your keys/certificates NOW (Version: 2)
2008-05-15 03:00 Bugtraq Debian OpenSSL Predictable PRNG Bruteforce SSH Exploit
Debian SSH Key Tester
#Cid: debian_ssh_rsa_2048_x86.tar.bz2
2008-05-14 06:30 SANS Internet Storm Center OpenSSH: Predictable PRNG in debian and ubuntu Linux (Version: 4)
2008-05-14 Debian DSA-1576: openssh -- 予測可能な乱数生成器
Debian の openssl パッケージの更新 (DSA-1571-1, CVE-2008-0166) は、OpenSSH にも間接的に影響する。
2008-05-13 22:50 Debian 脆弱な鍵を発見するためのツール
2008-05-13 Debian DSA-1571: openssl -- 予測可能な乱数の生成
Debian の openssl パッケージの乱数生成器が予測可能な乱数を生成することが発見された。これは Debian 固有の openssl への誤った修正 (CVE-2008-0166) が原因で、結果として、暗号に使う鍵の予測が可能となる。


参考情報



  1. Technical Cyber Security Alert TA08-137A
    Debian/Ubuntu OpenSSL Random Number Generator Vulnerability
  2. Vulnerability Note JVNTA08-137A
    Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性