Webでやりとりするデータの暗号化に使われるTLS/SSLプロトコルに脆弱性が報告された。
クライアントとサーバの間でWebを介してやりとりするデータの暗号化に使われるTLS/SSLプロトコルに脆弱性が発見され、この問題に対処したオープンソースツールキット「OpenSSL」の更新版がリリースされた。
SANS Internet Storm CenterやUS-CERTによると、TLS/SSLの再ネゴシエーションの過程に中間者攻撃の脆弱性が存在する。この問題を悪用された場合、攻撃者が通信に介入してテキストを仕込むことができてしまう可能性があるという。
この脆弱性を突いたエクスプロイトも公開されたが、US-CERTは11月6日の時点で、実際に脆弱性が悪用されたとの情報は入っていないとしている。
この問題に対処した更新版の「OpenSSL 0.9.8l」は、脆弱性を修正したわけではなく、脆弱性があったTLS/SSLの再ネゴシエーションを、単純にデフォルトのパッケージから削除したもののようだとSANSは報告。導入前に十分なテストを行った方が良さそうだと勧告している。
Copyright © ITmedia, Inc. All Rights Reserved.