ニュース
» 2015年03月20日 07時29分 UPDATE

OpenSSLの更新版が公開――「Heartbleedほど悪くない」

OpenSSLの更新版が予告通りに公開された。危険度「高」に分類したサービス妨害(DoS)の脆弱性など計14件の脆弱性を修正している。

[ITmedia]
opnsl01.jpg OpenSSLの更新情報

 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」の更新版が3月19日、予告通りに公開され、危険度「高」に分類したサービス妨害(DoS)の脆弱性を含め、計14件の脆弱性が修正された。米セキュリティ機関SANS Internet Storm Centerの専門家は「Heartbleedほどは悪くない」と解説している。

 OpenSSLのセキュリティ情報によると、危険度の高いDoSの脆弱性はOpenSSL 1.0.2のみに存在する。悪用されればサーバに対してDoS攻撃を仕掛けられる恐れがある。この問題はバージョン1.0.2aで修正された。

 また、強度の弱い輸出グレードのRSA鍵を使用させられてしまう脆弱性(通称「FREAK」)については、1月8日のセキュリティ情報で危険度「低」としていた分類を、危険度「高」に昇格させた。「輸出グレードのRSA暗号が、当初予想よりはるかに一般的にサポートされていたことが最近の研究で示されたため」と説明している。

 残る12件の脆弱性は、危険度「中程度」が9件、「低」が3件となっている。影響を受けるのは0.9.8〜1.0.2の各バージョン。それぞれ1.0.2a、1.0.1m、1.0.0r、0.9.8zfで問題が修正された。DoS攻撃に利用される恐れのある脆弱性のほか、潜在的な危険性が高いメモリ破損の脆弱性なども修正されており、「パッチ適用をあまり遅らせない方がいい」とSANSは助言している。

 Red HatやUbuntuなどの主要Linuxディストリビューションも、OpenSSLの脆弱性修正を受け、対応する更新版を公開した。

関連キーワード

OpenSSL | 脆弱性 | DoS


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -