"OpenSSL 0-Length"はこの問題をどのように解決しますか?
答え1
まず、脆弱性のCVE番号を見つけてください。クイックGoogle検索によると、「OpenSSL 0-length」は今年2月にリリースされたCVE-2019-1559です。
すべてのエンタープライズLinuxディストリビューション(または他のオペレーティングシステム)には、CVE番号ごとのセキュリティパッチ/箇条書きリストが含まれているか、特定のCVEで識別された脆弱性を修正するセキュリティパッチを見つける他の方法が必要です。
ベンダー中立的な脆弱性データベースもあります。例えばこんなことです。これには、ベンダー固有のセキュリティ掲示板へのリンクが含まれていることがよくあります。ディストリビューションに適用される掲示板を見つけると、保守可能な方法で脆弱性を修正するために必要な正確な情報を入手できます。
脆弱性データベースには、必要に応じて脆弱性の特性の簡単な説明も含まれています。この場合、OpenSSLは受信した暗号化されたトラフィックのさまざまな種類のエラーに異なる反応を持ち、攻撃者がこの違いを検出できる場合は次のようになります。特定の条件下で暗号化されたデータの復号化に悪用されます。
説明により、この脆弱性を解決するための2つの可能な方法があると推測できます。 1.)すべての復号化エラーに均一に応答するようにOpenSSLにパッチを適用するか、2.)OpenSSLを使用するすべてのアプリケーションにパッチを適用して、復号化タイプが漏れないようにします。攻撃者の復号化エラーを送信します。どちらも明らかに望ましいですが、1)同時に多くのアプリケーションに迅速なソリューションを提供するので、おそらく基本的なソリューションです。
さらに、脆弱性ライブラリは、OpenSSLバージョン1.0.2〜1.0.2qに脆弱性が存在することを示します。したがって、以下を含むオペレーティングシステムのアップデートをインストールする必要があります。誰でもOpenSSL 1.0.2r以上、またはCVE-2019-1559のバックポート修正を含むように明示的に指定されたすべてのOpenSSL 1.0.2バージョン。