OpenSSLにまた重大な脆弱性、直ちにパッチ適用を

脆弱性を悪用された場合、クライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。

» 2014年06月06日 07時41分 公開
[鈴木聖子,ITmedia]

 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に新たな脆弱性が見つかり、6月5日(米国時間)に修正パッチがリリースされた。脆弱性はサーバとクライアントの両方が影響を受け、OpenSSLで保護していたはずの情報が漏えいする恐れがある、

 OpenSSLは同日公開したセキュリティ情報で、6件の脆弱性を修正したことを明らかにした。中でも「SSL/TLSの中間者攻撃の脆弱性」では、攻撃者にクライアントとサーバ間のトラフィックの暗号を解除され、改ざんされる恐れがある。

 この脆弱性はクライアントではOpenSSLの全バージョンが影響を受ける。サーバではOpenSSL 1.0.1/1.0.2-beta1のみに影響が確認されているが、1.0.1より前のバージョンを使っている場合も念のためにアップグレードするよう勧告している。

 脆弱性はOpenSSLのバージョン0.9.8za、1.0.0m、1.0.1hで修正された。

 この脆弱性は、日本のネットワークセキュリティ技術・研究開発企業レピダムの菊池正史氏が発見した。同社が6月6日に公開した情報によれば、OpenSSLのChangeCipherSpec(CCS)メッセージの処理に脆弱性があり、悪用された場合、第三者が通信に介在し、第三者が知り得る弱い鍵をOpenSSLに使用させることが可能だという。

 この攻撃を実行するためには、標的とするクライアントとサーバの両方に脆弱性があり、サーバはバージョン1.0.1以降である必要がある。脆弱性のあるバージョンのOpenSSLを使って通信を保護していたWeb閲覧、メールの送受信、VPNといったソフトウェアは、通信内容や認証情報などを詐取・改ざんされる危険性がある。レピダムは「攻撃方法には十分な再現性があり、標的型攻撃などに利用される可能性は非常に高い」と警告している。

 OpenSSLのセキュリティ情報ではこの他にも5件の脆弱性について解説している。このうちDTLSフラグメントに関する脆弱性は、任意のコードを実行される可能性が指摘されている。

 OpenSSLの脆弱性は、影響が極めて広範に及ぶ。米US-CERTは6月5日の時点でFreeBSDやRed Hat、Ubuntuへの影響を確認。米SANS Internet Storm Centerも直ちにパッチを適用するよう呼び掛けている。

CCS Injectionの脆弱性(CVE-2014-0224)は日本のセキュリティ研究者が発見した
IPAとJPCERT/CCでは国内ベンダーの対応状況を公開している

関連キーワード

脆弱性 | OpenSSL | 改ざん | 中間者攻撃


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ