先日明らかにされたセキュリティアラート: CVE-2015-1793
OpenSSL: Alternative chains certificate forgery
OpenSSLの証明書チェーンの検証不備の脆弱性について
OpenSSLプロジェクトによる Security Advisory [9 Jul 2015]
https://www.openssl.org/news/secadv_20150709.txt
本件の問題点と対策は以下の通りです。
■OpenSSLの証明書チェーンの検証不備の脆弱性問題点要約
OpenSSL は、証明書の検証において最初の証明書チェーンの構築に失敗した場合、代替の証明書チェーンの構築を試みますが、この処理の実装には不備があります。
その結果、例えば CA フラグが FALSE とされている証明書を使って発行された証明書を、不正なものであると検知せず、信頼している CA によって発行された証明書として扱ってしまう可能性があります。
■必要な対策
影響を受けるバージョン
OpenSSL 1.0.2c、1.0.2b OpenSSL 1.0.1o、1.0.1n
修正されたバージョン
OpenSSL 1.0.2d OpenSSL 1.0.1p
対策としてはOSベンダからリリースされた最新バージョンへアップデートすることとなっております。
■RedHat の見解:脆弱性の問題なし
RedHat の見解としては(当OSにおいては)今回の件は脆弱性ではない。影響はないものということです。
OpenSSL: Alternative chains certificate forgery vulnerability (CVE-2015-1793)
https://access.redhat.com/solutions/1523323
CVE-2015-1793(RedHat)
https://access.redhat.com/security/cve/CVE-2015-1793
これは、RedHat が供給している OpenSSL は影響するバージョンではないからだと思われます。
CentOS も同様の扱いになります。
■対策実施なし
当サービスでは現状すべてのユーザーが CentOS であるため、今回はアップデートは実施しません。