マニマニのMyblog

OpenSSLにまた重大な脆弱性、直ちにパッチ適用を

　オープンソースのSSL／TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日（米国時間）に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、

　OpenSSLは同日公開したセキュリティ情報で、6件の脆弱性を修正したことを明らかにした。中でも「SSL/TLSの中間者攻撃の脆弱性」では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。

　この脆弱性はクライアントではOpenSSLの全バージョンが影響を受ける。サーバではOpenSSL 1.0.1／1.0.2-beta1のみに影響が確認されているが、1.0.1より前のバージョンを使っている場合も念のためにアップグレードするよう勧告している。

　脆弱性はOpenSSLのバージョン0.9.8za、1.0.0m、1.0.1hで修正された。

　この脆弱性は、日本のネットワークセキュリティ技術・研究開発企業レピダムの菊池正史氏が発見した。同社が6月6日に公開した情報によれば、OpenSSLのChangeCipherSpec（CCS）メッセージの処理に脆弱性があり、悪用された場合、第三者が通信に介在し、第三者が知り得る弱い鍵をOpenSSLに使用させることが可能だという。

　この攻撃を実行するためには、標的とするクライアントとサーバの両方に脆弱性があり、サーバはバージョン1.0.1以降である必要がある。脆弱性のあるバージョンのOpenSSLを使って通信を保護していたWeb閲覧、メールの送受信、VPNといったソフトウェアは、通信内容や認証情報などを詐取・改ざんされる危険性がある。レピダムは「攻撃方法には十分な再現性があり、標的型攻撃などに利用される可能性は非常に高い」と警告している。

　OpenSSLのセキュリティ情報ではこの他にも5件の脆弱性について解説している。このうちDTLSフラグメントに関する脆弱性は、任意のコードを実行される可能性が指摘されている。

　OpenSSLの脆弱性は、影響が極めて広範に及ぶ。米US-CERTは6月5日の時点でFreeBSDやRed Hat、Ubuntuへの影響を確認。米SANS Internet Storm Centerも直ちにパッチを適用するよう呼び掛けている。

OpenSSL ジョン・ヴ オーム社 価格:4,536円 (2014/6/10 13:39時点) 感想(0件)