Slapper Worm(仮称)の出現

下記脆弱性(CAN-2002-0656)を攻撃するワーム出現の情報を確認しております。
9/17 15:00現在このワームに関する被害届出は1件です。
今後この脆弱性を抱えたWebサーバへの被害が拡大する恐れもあることから注意が必要です。

関連情報

緊急報告 - OpenSSL の脆弱性を使って伝播する Apache/mod_ssl ワーム
http://www.jpcert.or.jp/at/2002/at020006.txt

CERT: Advisory CA-2002-27 Apache/mod_ssl Worm
http://www.cert.org/advisories/CA-2002-27.html

Incidents.org: Analysis OpenSSL Vulnerabilities
http://isc.incidents.org/analysis.html?id=167

Ahnlab: Linux/Slapper.worm
http://japan.ahnlab.com/virusinfo/view.asp?seq=229&pageNo=1

F-Secure: Global Slapper Worm Information Center
http://www.f-secure.com/slapper/

ISS: "Slapper" OpenSSL/Apache Worm Propagation
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21130

McAfee: Linux/Slapper.worm
http://www.nai.com/japan/virusinfo/virS.asp?v=Linux/Slapper.worm

Symantec: Linux.Slapper.Worm
http://securityresponse.symantec.com/avcenter/venc/data/linux.slapper.worm.html

Trend Micro: ELF_SLAPPER.A
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=ELF_SLAPPER.A

OpenSSL に複数の脆弱性

概要

オープンソースの SSL 実装として広く使われている OpenSSL に、リモートから攻略可能なバッファオーバーフローの脆弱性及び ASN.1 のエンコードの処理における問題が発見されています。これらの脆弱性を攻略することにより、攻撃者は、標的システム上で任意のコードを実行したり、サービス妨害攻撃（DoS 攻撃）を行うことができます。

影響範囲

OpenSSL 0.9.6d 以前 (含む)

OpenSSL 0.9.7-beta2 以前 (含む)

SSLeay Library などコードを流用または共用しているシステム

SSL 通信をサポートするセキュアな Web サイトでは、Apache Web サーバーとの組合わせで広く使われています。また、そのようなサイトは重要なデータを扱っていることからリスクレベルは高いと考えられます。

脆弱性の概要

OpenSSL サーバー側における SSLv2 ハンドシェーク中のバッファオーバーフロー

サーバー認証を行う SSLv2 で暗号／署名アルゴリズム、鍵交換、証明書認証等のハンドシェイク処理において、クライアントから送る鍵を細工することにより、OpenSSL サーバーが、バッファオーバーフローする可能性がある。
CVE番号: CAN-2002-0656
　

OpenSSL クライアント側における SSLv3 ハンドシェーク中のバッファオーバーフロー

相互認証を行う SSLv3 で暗号/署名アルゴリズム、鍵交換、証明書認証などのハンドシェイク処理において、サーバーから送るセッションIDを細工することにより、OpenSSL クライアントが、バッファオーバーフローを引き起こす可能性がある。
CVE番号: CAN-2002-0656
　

Kerberos が有効な OpenSSL サーバー側における SSLv3 ハンドシェーク中のバッファオーバーフロー

相互認証を行う SSLv3 で暗号/署名アルゴリズム、鍵交換、証明書認証などのハンドシェイク処理において、クライアントから送る鍵を細工することにより、OpenSSL サーバーが、バッファオーバーフローを引き起こす可能性がある。
CVE番号: CAN-2002-0657
　

整数値の ASCII 文字列を格納する複数のバッファでオーバーフロー

64 ビットプラットフォームの場合、整数値の ASCII 表記文字列を格納するのに十分な大きさを持っていないバッファが複数存在する。
CVE番号: CAN-2002-0655
　

ASN.1 の処理において不正にエンコードされた証明書を不適切に処理してしまう

OpenSSL で使われている ASN.1 ライブラリには様々なエンコード処理のバグがあり、不正にエンコードされた証明書を不適切に処理してしまう。この脆弱性を攻略すると、リモートからのサービス妨害攻撃を受ける可能性がある。
CVE番号: CAN-2002-0659

影響の程度

リモートの侵入者によって脆弱性を攻略されることにより、悪意あるコードを実行され、不正アクセスされる可能性があります。また、サービスを妨害される可能性があります。

参考資料の "OpenSSL Security Advisory [30 July 2002]" にあるように、32 ピットプラットフォーム上で OpenSSL 0.9.6d を使っているサーバーの場合、SSLv2 ハンドシェークを禁止すれば 4 つの脆弱性の影響は受けませんが、5 つ目の ASN.1 の脆弱性によってサービス妨害攻撃を受ける可能性はあります。

対策

最新版にアップグレードするか、パッチを適用します。ベンダー提供のバイナリーを使用している場合には各ベンダー情報を参照する。

OpenSSL v0.9.6 系の最新版

OpenSSL v0.9.6g (2002/8/9)
http://www.openssl.org/source/

OpenSSL v0.9.7 系の最新版

OpenSSL v0.9.7-beta3 (2002/7/30)
http://www.openssl.org/source/

OpenSSL v0.9.6d 用のパッチ

http://www.openssl.org/news/patch_20020730_0_9_6d.txt

OpenSSL v0.9.7-beta2 用のパッチ

http://www.openssl.org/news/patch_20020730_0_9_7.txt

ベンダー情報

Apple

Security Update 2002-08-02 に関する情報とソフトウェアのダウンロード
http://til.info.apple.co.jp/cgi-bin/artnum?id=120139

Debian GNU/Linux

DSA-136-1 openssl -- multiple remote exploits
http://www.debian.org/security/2002/dsa-136

FreeBSD

SA-02:33 openssl contains multiple vulnerabilities
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02%3A33.openssl.asc

NetBSD Project

SA2002-009 Multiple vulnerabilities in OpenSSL code
ftp://ftp.NetBSD.ORG/pub/NetBSD/security/advisories/NetBSD-SA2002-009.txt.asc

MIRACLE LINUX

openssl　セキュリティホール
http://www.miraclelinux.com/support/update/data/openssl.html

OpenBSD

013: SECURITY FIX: July 30, 2002
http://www.openbsd.org/errata.html#ssl

Oracle

OpenSSLの複数のセキュリティの脆弱性
http://www.oracle.co.jp/news/security/index.html

Red Hat

RHSA-2002:155-11 Updated openssl packages fix remote vulnerabilities
http://rhn.redhat.com/errata/RHSA-2002-155.html

SuSE Security Announcement

SuSE-SA:2002:027
http://www.suse.com/de/security/2002_027_openssl.html

Turbolinux Japan Security Center

openssl - buffer overflowによるローカルユーザー権限奪取
http://www.turbolinux.co.jp/security/openssl-0.9.6e-1.html

Vine Linux errata

openssl にセキュリティホール
http://www.vinelinux.org/errata/25x/20020731.html

参考資料

OpenSSL Security Advisory [30 July 2002]
http://www.openssl.org/news/secadv_20020730.txt

CERT Advisory CA-2002-23 Multiple Vulnerabilities In OpenSSL
http://www.cert.org/advisories/CA-2002-23.html

VU#102795 - OpenSSL servers contain a buffer overflow during the SSLv2 handshake process
http://www.kb.cert.org/vuls/id/102795

VU#258555 - OpenSSL clients contain a buffer overflow during the SSLv3 handshake process
http://www.kb.cert.org/vuls/id/258555

VU#561275 - OpenSSL servers with Kerberos enabled contain a remotely exploitable buffer overflow vulnerability during the SSLv3 handshake process
http://www.kb.cert.org/vuls/id/561275

VU#308891 - OpenSSL contains multiple buffer overflows in buffers that are used to hold ASCII representations of integers
http://www.kb.cert.org/vuls/id/308891

VU#748355 - ASN.1 encoding errors exist in implementations of SSL, TLS, S/MIME, PKCS#7 routines
http://www.kb.cert.org/vuls/id/748355

更新履歴

2002年 9月17日 Slapper ワームとその関連情報を追加
2002年 8月14日ベンダー情報追加、OpenSSL 最新版情報更新
2002年 8月12日ベンダー情報追加
2002年 8月 6日ベンダー情報追加
2002年 8月 1日ベンダー情報追加
2002年 7月31日掲載

Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.