ニュース
2004/03/18 09:14 更新
OpenSSLにDoS攻撃招く脆弱性
OpenSSL Projectは3月17日、2件の脆弱性が発見されたと報告、修正後のバージョンをリリースした。
オープンソースのSecure Sockets Layer(SSL)/Transport Layer Security(TLS)実装を開発するOpenSSL Projectは3月17日、2件の脆弱性が発見されたと報告、修正後のバージョンをリリースした。
セキュリティ企業のSecuniaはこれらの深刻度を「中程度」と評価している。サービス妨害(DoS)攻撃に悪用される恐れがあるという。
一つ目の脆弱性は、do_change_cipher_spec()関数のnull-pointer assignment(ナルポインタ割り当て)に含まれる。OpenSSLのバージョン0.9.6c〜0.9.6lおよびバージョン0.9.7a〜0.9.7cがこの問題の影響を受ける。
また、Kerberos暗号セット利用時のSSL/TLSハンドシェイクにも脆弱性が見つかった。ただし、ほとんどのアプリケーションにはKerberos暗号セットを利用する機能は含まれておらず、そうしたアプリケーションは影響を受けないとしている。脆弱性を含むバージョンは0.9.7a〜0.9.7c。
OpenSSL Projectはこれらの脆弱性に対応した0.9.6mもしくは0.9.7dへのアップグレードを勧めている。
関連リンク
OpenSSLのアドバイザリーSecuniaのアドバイザリー[ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
