オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日(米国時間)に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、
OpenSSLは同日公開したセキュリティ情報で、6件の脆弱性を修正したことを明らかにした。中でも「SSL/TLSの中間者攻撃の脆弱性」では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。
この脆弱性はクライアントではOpenSSLの全バージョンが影響を受ける。サーバではOpenSSL 1.0.1/1.0.2-beta1のみに影響が確認されているが、1.0.1より前のバージョンを使っている場合も念のためにアップグレードするよう勧告している。
脆弱性はOpenSSLのバージョン0.9.8za、1.0.0m、1.0.1hで修正された。
この脆弱性は、日本のセキュリティ研究機関レピダムの菊池氏が発見した。同社が6月6日に公開した情報によれば、OpenSSLのChangeCipherSpec(CCS)メッセージの処理に脆弱性があり、悪用された場合、第三者が通信に介在し、第三者が知り得る弱い鍵をOpenSSLに使用させることが可能だという。
この攻撃を実行するためには、標的とするクライアントとサーバの両方に脆弱性があり、サーバはバージョン1.0.1以降である必要がある。脆弱性のあるバージョンのOpenSSLを使って通信を保護していたWeb閲覧、メールの送受信、VPNといったソフトウェアは、通信内容や認証情報などを詐取・改ざんされる危険性がある。レピダムは「攻撃方法には十分な再現性があり、標的型攻撃などに利用される可能性は非常に高い」と警告している。
OpenSSLのセキュリティ情報ではこの他にも5件の脆弱性について解説している。このうちDTLSフラグメントに関する脆弱性は、任意のコードを実行される可能性が指摘されている。
OpenSSLの脆弱性は、影響が極めて広範に及ぶ。米US-CERTは6月5日の時点でFreeBSDやRed Hat、Ubuntuへの影響を確認。米SANS Internet Storm Centerも直ちにパッチを適用するよう呼び掛けている。
関連記事
- 「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響
- まずはOpenSSL脆弱性の再発防止へ、オープンソース支援の業界団体が始動
- OpenSSL脆弱性対策の「致命的なミス」、秘密鍵を変更せず
- OpenSSLの脆弱性、影響は極めて重大——パスワードや秘密鍵の流出も
- OpenSSLの脆弱性問題には冷静な対応を
- OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
関連リンク
Copyright© 2014 ITmedia, Inc. All Rights Reserved.