GnuTLSに新たな脆弱性!修正版へのアップデートを!
2014-06-06
2014-06-18
こんにちは。2014年3月にGnuTLSに脆弱性、バージョンの確認をというエントリーを書きましたが、5月末に新たな脆弱性について発見され6月3日までに修正版が公開されています。 以下、ITmediaエンタープライズ6/4記事:「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響より一部引用
Red Hatが公開したセキュリティ情報によれば、この脆弱性に関する情報は5月28日に公開され、6月3日までに修正パッチが公開された。GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で接続しているTLS/SSLクライアントをバッファオーバーフロー状態に陥れ、クラッシュを誘発させたり任意のコードを実行したりできてしまう恐れがあるという。 (中略) **脆弱性はGnuTLSのバージョン3.1.25、3.2.15、3.3.3で修正された。**Red Hatも「Red Hat Enterprise Linux 6」「Red Hat Enterprise Linux 5」のGnuTLSパッケージを更新してこの問題に対処している。
やるべきことはアップデート
現時点でユーザーができることは1にも2にも修正版にアップデートすることでしょう。(エンジニアの方はコードの解析等の手段があるでしょうが) Ubuntu等のアップデートマネージャーが通知してくれるディストロを使っている場合は割と頻繁にシステムの更新をしますが、Archlinux等の場合は更新による不具合を懸念して頻繁なアップデートは敬遠する方もいます。しかし、このような重要な脆弱性が発表された時にはまずシステムの更新で身を守りましょう。 (Arch Linuxでは公式リポジトリからバージョン3.3.4が公開されていました。) 参考までにアップデート用のコマンドを記載しておきます。
Ubuntu,Debianをお使いの方
$ sudo apt-get update && sudo apt-get upgrade
RedHat系をお使いの方
$ sudo yum update
Arch Linuxをお使いの方
$ sudo pacman -Syu
----2014/06/11追記---- お使いのgnuTLSのバージョンを確認するコマンドを記載しておきます。
Ubuntu,Debianをお使いの方
$ dpkg -s gnutls
RedHat系をお使いの方
$ rpm -qi gnutls
Arch Linuxをお使いの方
$ pacman -Ss gnutls
[adsense]