M. Takeyamaです。 #自己フォローモード On Wed, 30 Mar 2005 20:10:50 +0900 "M. Takeyama(takezou)" <takezou040728@yahoo.co.jp> wrote: [...]
あと、最近、 Openssl(0.9.7系)があがりました。 #セキュリバグのfixだったかもしれません。 #openssl-0.9.7f.tar.gzのソースChangeLogをまだみていない。 #(運用しているサーバのopensslは、0.9.6系なので後回し状態) メールを出したあと、やっぱり気になったので、openssl-0.9.7f の ChangeLogをみてみたところ少なくとも1つはセキュリティバグが あったようです。
<openssl.orgからのアナウンスメント(リリース)とchangelog> http://www.openssl.org/news/announce.html http://www.openssl.org/news/changelog.html -----(openssl-0.9.7f のChangeLogからの抜粋)----- Changes between 0.9.7e and 0.9.7f [22 Mar 2005] *) Use (SSL_RANDOM_VALUE - 4) bytes of pseudo random data when generating server and client random values. Previously (SSL_RANDOM_VALUE - sizeof(time_t)) would be used which would result in less random data when sizeof(time_t) > 4 (some 64 bit platforms). This change has negligible security impact because: 1. Server and client random values still have 24 bytes of pseudo random data. 2. Server and client random values are sent in the clear in the initial handshake. 3. The master secret is derived using the premaster secret (48 bytes in size for static RSA ciphersuites) as well as client server and random values. The OpenSSL team would like to thank the UK NISCC for bringing this issue to our attention. [Stephen Henson, reported by UK NISCC] -------------------------------------------------- --- M. Takeyama __________________________________ Do You Yahoo!? Upgrade Your Life http://bb.yahoo.co.jp/