OpenSSLの更新版公開、「Logjam」対策を実装
「Logjam」と呼ばれるTLSプロトコルの脆弱性の悪用を防ぐ対策を実装したほか、6件の脆弱性が修正された。
» 2015年06月12日 07時06分 公開
[鈴木聖子,ITmedia]
OpenSSLのセキュリティアップデートが6月11日付で公開された。「Logjam」と呼ばれるTLSプロトコルの脆弱性の悪用を防ぐ対策などが盛り込まれている。
Logjamは過去の米政府の暗号輸出規制に起因する脆弱性で、攻撃者が中間者攻撃を仕掛けてTLS接続の暗号化方式を格下げさせ、通信の内容を傍受したり、改ざんしたりできる可能性が指摘されている。OpenSSLの更新版(1.0.2bおよび1.0.1n)ではこの脆弱性を突く攻撃を防ぐための仕組みを追加した。
他にも6件の脆弱性が修正されており、危険度はいずれも中〜低レベルと評価されている。脆弱性が存在するのはOpenSSL 1.0.2、1.0.1、1.0.0、0.9.8の各バージョン。それぞれ1.0.2b、1.0.1n、1.0.0s、0.9.8zgで問題が修正された。
なお、OpenSSL 1.0.0と0.9.8については2015年12月31日でサポートが終了する。以後はセキュリティアップデートが公開されなくなるため、ユーザーはバージョン1.0.1か1.0.2に更新する必要がある。
関連記事
TLSに脆弱性「Logjam」発覚、主要ブラウザやメールサーバに影響
「FREAK」と同様、1990年代の米国の暗号輸出規制に起因する脆弱性が新たに発覚した。
1分で読む「Logjam」脆弱性と対策
セキュリティ各社の解説をもとに平易になるようまとめています。
OpenSSLの更新版が公開――「Heartbleedほど悪くない」
OpenSSLの更新版が予告通りに公開された。危険度「高」に分類したサービス妨害(DoS)の脆弱性など計14件の脆弱性を修正している。
米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚
1990年代の米暗号輸出規制に起因する脆弱性が残ったまま現在に至っていたことが判明した。AndroidブラウザやSafariに影響するとみられている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。