«前の日記(2018-04-18) 最新 次の日記(2018-07-30)» 編集

meta's blog - The Power To Serve

筆者について

FreeBSDを通じてOSSにささかな貢献を。

OSS活動をご支援いただける方を募集しています

2018-05-07

xrdp v0.9.5 以前と Windows 10 の組み合わせでコード 0x80004005 のエラーが発生する問題

正確な日付は記憶していないのですが、2018年のGW中にリリースされた Windows 10 Insider Preview と xrdp v0.9.5 以前の組み合わせにおいて、「認証エラーが発生しました (コード: 0x80004005)。」というエラーが発生して Windows クライアントから xrdp に接続できないという問題が発生しています。

2018年5月という日付と、リモートデスクトップという単語の組み合わせから、以下の問題を連想する方が多いかもしれませんが、0x80004005 エラーと CVE-2018-0086 CVE-2018-0886 の修正は無関係です。

2018-05-15 16:28 追記: 下記リンク先のマイクロソフトの記事において、CVE番号が間違っています。正しくは CVE-2018-0886 です。

発生条件

サーバ側

  • xrdp v0.9.5 以下
  • OpenSSL 1.1.0 未満 (OpenSSL 1.0.x)

クライアント側

  • Windows 10 Insider Preview Build 17661.rs_prerelease.180428-1349
  • 今後 Insider Preview でない通常リリースでも発生するかもしれません

その他

  • クライアント・サーバ間の通信モードがTLSであること

何が起こっているか

Microsoft Remote Desktop Protocol (以下MS-RDP) には、RC4により通信を暗号化する従来のモード(もはや安全でない)と、TLSにより通信を暗号化するTLSモードが存在しますが、TLSによる暗号化を使用する場合に本問題が発生します。

上記のバージョンの Windows 10 Insider Preview 以降、リモートデスクトップクライアント(以下mstsc)がTLSモードで使用する暗号化スイートに変更があり、Forward securecyを満たす暗号化スイートのみを使用するようになったようです。

Forward securecy については筋よく説明しているサイトが他にたくさんあるので、ここで詳しくは説明はしませんが暗号化に使用する鍵に一時的な(Ephemeral)な鍵を定期的に交換して使用し、認証用の公開鍵が漏洩しても通信内容の解読を困難にするものです。ECDHE-DHE- が頭につく暗号化スイートがそれです。

一方でxrdpにTLSが実装された最初のまともなリリースであるv0.9.1からv0.9.5以前のバージョンには、OpenSSL 1.1.0 未満との組み合わせで使用した場合、Forward securecyを満たす暗号化スイートが使用されないというバグがありました。このバグは以下のissueで修正され、v0.9.6には含まれています。

ここまで書くと察しの良い方はお気づきになるかもしれませんが xrdp v0.9.5 以前と OpenSSL 1.1.0 未満の組み合わせにおいて、クライアント側はForward securecyを満たす暗号化スイートを要求するにも関わらず、サーバとなるxrdp側はそれを使用できないという状態に陥ります。ここで暗号化スイートのミスマッチが起こりネゴシエーションに失敗、接続できないという結果になります。

対処方法

対処方法は、先に上げた発生条件をどれか1つでも崩せばいいわけですから簡単です。Windowsのバージョンを下げることや、TLSによる暗号化を使用しないのは安全でない場合が多く、おすすめしません。OpenSSLのバージョンを1.1.0以降に上げるのも、OSにかなり根深い部分を触ることになる可能性があり、非常に面倒なのでできれば行いたくないですね。

というわけで、最も簡単なのは xrdp のバージョンを v0.9.6 以降に上げることです。この記事を書いている時点では v0.9.6 が最新です。xrdpとクライアントとの間でどんな暗号化が使用されているかを知るには、/var/log/xrdp.log を見てください。接続時に以下のようなログが記録されるはずです。

[20180507-15:02:00] [INFO ] TLS connection established from ::ffff:192.168.0.60 port 51710: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384

このログの場合は、コネクションはTLSv1.2によって保護され、暗号化スイートは ECDHE-RSA-AES256-GCM-SHA384 であることがわかります。

[ツッコミを入れる]
«前の日記(2018-04-18) 最新 次の日記(2018-07-30)» 編集

Amazon.co.jp

過去の日記

RSSフィード

RSSフィードが必要な方は下からどうぞ。

最近の記事

  • 2023-06-18
    • 1. AlmaLinux developerになりました
  • 2023-04-13
    • 1. AlmaLinux 9 (20221116)で Raspberry Pi 400のWi-Fiを使えるようにする
  • 2021-07-30
    • 1. リトルカブ 強化クラッチ導入&オイルポンプ交換&オイル交換 @31275km
  • 2021-07-01
    • 1. FreeBSDでMACアドレスごとにネットワークインターフェイス名を固定する
  • 2021-03-27
    • 1. SoftEtherVPNがWireGuardプロトコルに対応したので試してみた
  • 2021-02-22
    • 1. リトルカブボアアップ後の燃費
  • 2021-02-20
    • 1. リトルカブボアアップ後の初オイル交換 @29450km
  • 2021-02-18
    • 1. ブログをHTTPS化した
  • 2020-11-18
    • 1. リトルカブを二種登録した
  • 2020-11-16
    • 1. 普通二輪免許(小型AT限定)を取得した
  • 2020-10-05
    • 1. リトルカブ ウィンカー交換&移設
  • 2020-09-22
    • 1. リトルカブプラグ交換@27983km
  • 2020-09-18
    • 1. NTT西日本の光ポータブルLTEを解約した
  • 2020-08-16
    • 1. リトルカブ リアサス交換 @27753km
  • 2020-06-29
    • 1. SoftEther 通信スループット測定サーバの構築方法 (FreeBSD)
  • 2020-06-27
    • 1. NCロードスター エアコンガス補充 @104006km
  • 2020-05-19
    • 1. ruby-buildのバージョンリスト表示を整理した
  • 2020-04-29
    • 1. リトルカブシート張替 @27100km
  • 2020-04-27
    • 1. FreeBSD ports 作成: sysutils/mackerel-agent
  • 2020-04-18
    • 1. リトルカブタイヤ交換など @26900km
  • 2020-04-13
    • 1. リトルカブ燃料キャップキーレス化&パッキン交換
  • 2020-04-04
    • 1. リトルカブオイル交換 @26825km
  • 2020-02-23
    • 1. リトルカブチェーン交換 @26704km
  • 2019-09-24
    • 1. SoftEtherをパッケージングするための技術
  • 2019-08-06
    • 1. FreeBSD developer (ports) になる方法
  • 2019-06-22
    • 1. NCロードスターのブロアが止まらなくなった→レジスター交換で直った
  • 2019-06-01
    • 1. リトルカブ プラグ交換 @25635km
  • 2019-05-23
    • 1. NCロードスター エアコンフィルタ取付
  • 2019-04-13
    • 1. リトルカブオイル交換&洗車 @25440km
  • 2019-03-07
    • 1. SoftEther 5のFreeBSD portを作成した (Raspberry Piで使えます)

本ページでは Google Analytics を使用しており、トラフィックデータの収集のために Cookie を使用しています。収集した情報の扱いはプライバシーポリシーに従います。

Amazon.co.jp アソシエイト

Generated by tDiary version 5.2.4
Powered by Ruby version 3.2.3-p157