GnuTLSに新たな脆弱性!修正版へのアップデートを!

公開日: : 最終更新日:2014/06/18 Linux全般

 

こんにちは。2014年3月にGnuTLSに脆弱性、バージョンの確認をというエントリーを書きましたが、5月末に新たな脆弱性について発見され6月3日までに修正版が公開されています。

以下、ITmediaエンタープライズ6/4記事:「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響より一部引用

 Red Hatが公開したセキュリティ情報によれば、この脆弱性に関する情報は5月28日に公開され、6月3日までに修正パッチが公開された。GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で接続しているTLS/SSLクライアントをバッファオーバーフロー状態に陥れ、クラッシュを誘発させたり任意のコードを実行したりできてしまう恐れがあるという。
(中略)
 脆弱性はGnuTLSのバージョン3.1.25、3.2.15、3.3.3で修正された。Red Hatも「Red Hat Enterprise Linux 6」「Red Hat Enterprise Linux 5」のGnuTLSパッケージを更新してこの問題に対処している。

やるべきことはアップデート

現時点でユーザーができることは1にも2にも修正版にアップデートすることでしょう。(エンジニアの方はコードの解析等の手段があるでしょうが)

Ubuntu等のアップデートマネージャーが通知してくれるディストロを使っている場合は割と頻繁にシステムの更新をしますが、Archlinux等の場合は更新による不具合を懸念して頻繁なアップデートは敬遠する方もいます。しかし、このような重要な脆弱性が発表された時にはまずシステムの更新で身を守りましょう。
(Arch Linuxでは公式リポジトリからバージョン3.3.4が公開されていました。)

参考までにアップデート用のコマンドを記載しておきます。

Ubuntu,Debianをお使いの方

$ sudo apt-get update && sudo apt-get upgrade

RedHat系をお使いの方

$ sudo yum update

Arch Linuxをお使いの方

$ sudo pacman -Syu

—-2014/06/11追記—-
お使いのgnuTLSのバージョンを確認するコマンドを記載しておきます。

Ubuntu,Debianをお使いの方

$ dpkg -s gnutls

RedHat系をお使いの方

$ rpm -qi gnutls

Arch Linuxをお使いの方

$ pacman -Ss gnutls

Sponsored Link

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

  • 映画と読書を愛するLinuxユーザー
    趣味はプログラミングとPC

    github:Kuro_Code25
    E-mail:kuro.code25@gmail.com

    記事更新のフォローはRSSやTwitterが便利です

    クロの仲間たち
    ※無断転載はご遠慮ください

  • にほんブログ村 IT技術ブログ Linuxへ
  • クロが作ったAndroidアプリがリリース!
    使いやすい単位変換アプリ

    使いやすい割り勘アプリ

    使いやすい調味料計算アプリ
PAGE TOP ↑