脆弱性報告2件:CRT を使ったRSA攻撃、DTLSのDoS脆弱性

CRTによるRSA攻撃:

レッドハット製品セキュリティグループのFlorian Weimer氏による最近の論文でRSAに対するフォールト攻撃について指摘されています。多くの暗号ライブラリはCRT(中国の剰余定理:Chinese Remainder Theorem)と呼ばれる最適化を使用しています。この攻撃は、CRT処理中にフォールトを生成することに基づいています。例えば、競合状態や単純にCPUフォールトなどを使ってシステムにオーバーヒートを起こさせるというような。この攻撃があると、wc_RsaSSL_VerifyInline関数は不正でないことを証明するために使われてしまいます。今のこの確認関数では、以前に影響されているすべてのTSL接続が自動的に使用されています。

RSA CRTへの攻撃によって影響されるwolfSSL組込み向けSSL/TLSはごく一部のビルドです。RSA秘密鍵をサーバ側でwolfSSLのTLS接続に使用していて、一時的鍵交換の使用を許可し小メモリーオプションを使用している場合に影響されます。一例として、wolfSSLのTLSサーバ側で暗号スイート ECDHE-RSA-AES256-SHA256 で一時的鍵交換を指定していて接続の生成にRSA秘密鍵をロードしていてる場合です。この接続のクライアント側は影響されません。もし、この条件に合致するようでしたら、最新リリースの3.6.8への更新とすべてのRSA秘密鍵の更新をお願いします。wolfSSLのクライアント側を使用している場合には本件の問題はありません。

本脆弱性はCVE-2015-7744に登録されています。

DTLSに対するDoS攻撃:

本報告に関して、the Institute for Applied Information Processing and Communications at Graz University of TechnologyのSebastian Ramacher に感謝します。本件では、wolfSSLのDTLS DoS攻撃を増幅する可能性が報告されています。オリジナルのクッキー生成のコールバックでは現在のソケットのピア・アドレスとポート番号のハッシュが使用されていました。しかし、現在はクッキーはRFCの規定(クライアントIPアドレス、クライアント・ポート番号、バージョン、乱数、暗号スイート、圧縮)でクライアントのハロー・メッセージをベースにしてアプリケーション側の秘密値でHMAC化することになっています。

 サーバ側DTLSを外部アクセス可能なマシンで使用している場合にのみ影響があります。このようなサーバはHMACを使用して予測不可能なクッキーを生成するようにしたリリース3.6.8に更新してください。

本脆弱性はCVE-2015-6925に登録されています。

本件に関してご質問などは info@wolfssl.com にお願いします。 RSA-CRT 攻撃に関する論文: https://people.redhat.com/~fweimer/rsa-crt-leaks.pdf 

オリジナルポスト(English) wolfSSLホーム:www.wolfssl.jp (English:www.wolfssl.com)
]]>