「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響

悪用された場合、GnuTLSを使っているTLS/SSLクライアントで任意のコードを実行される恐れもある。

» 2014年06月04日 07時21分 公開
[鈴木聖子,ITmedia]

 Red Hat、Debian、Ubuntuなどの主要Linuxディストリビューションに使われているオープンソースのSSL/TLSライブラリ「GnuTLS」に新たな脆弱性が見つかり、修正パッチがリリースされた。悪用された場合、クライアントサイドで任意のコードを実行される可能性が指摘されている。

 Red Hatが公開したセキュリティ情報によれば、この脆弱性に関する情報は5月28日に公開され、6月3日までに修正パッチが公開された。GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で接続しているTLS/SSLクライアントをバッファオーバーフロー状態に陥れ、クラッシュを誘発させたり任意のコードを実行したりできてしまう恐れがあるという。

Red Hatのセキュリティ情報

 この脆弱性はセキュリティ企業のCodenomiconが発見した。同社は「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性を発見した企業

 脆弱性はGnuTLSのバージョン3.1.25、3.2.15、3.3.3で修正された。Red Hatも「Red Hat Enterprise Linux 6」「Red Hat Enterprise Linux 5」のGnuTLSパッケージを更新してこの問題に対処している。

関連キーワード

TLS | 脆弱性 | Linux


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ