OpenSSL 0.9.8j & CVE-2008-5077

OpenSSL Security Advisory [07-Jan-2009]
Incorrect checks for malformed signatures
http://www.openssl.org/news/secadv_20090107.txt

> This vulnerability is tracked as CVE-2008-5077.
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5077

に対処しています．0.9.8j より前のバージョンはすべてアウトのようで．
> OpenSSL 0.9.8i and earlier does not properly check the return value
> from the EVP_VerifyFinal function, which allows remote attackers to
> bypass validation of the certificate chain via a malformed SSL/TLS signature.

追記(13:00)：
NTPとかBINDとか広範囲に及ぶ模様．

ウイルス警報？

今日の日経新聞の社会面を見てて「ウイルス警報」という記述があった．

USBメモリーで感染　ウイルス警報 発令中
http://www.nikkei.co.jp/news/shakai/20090108AT1G2605I07012009.html

あれー，と思ってググったらこれのことか．
http://www.ipa.go.jp/security/txt/2009/01outline.html
> (c) USB メモリを介してパソコンにウイルス感染！

ちょっと警報とまでは言えないソースなので，なんだかなぁという感じ．
注意喚起という意味では評価するけど．

あと，オートランウイルスに関連して，このようなUSBメモリが発売される
ようですね．どうやって検知用DBを更新するかは不明．後で問い合わせてみる．

EasyDiskV(ED-V)
http://www.iodata.jp/product/usbmemory/easydisk/ed-v/


あ．これか．Trend Micro USB Security for Biz
http://jp.trendmicro.com/jp/products/enterprise/tmusb/
> トレンドマイクロ製品 からのウイルスパターンファイルアップデート機能

挿されたPCにトレンドマイクロ製品がないとアップデートされないんですね