OpenSSL、深刻な脆弱性を修正した更新版公開

攻撃者が代替チェーン証明書を偽造できてしまう恐れがあり、通信の傍受やデータの改ざんなどの攻撃に利用される可能性がある。

[鈴木聖子，ITmedia]

OpenSSLの告知

　OpenSSLに深刻な脆弱性が発見され、7月9日に修正のためのアップデートが公開された。

　OpenSSLのアドバイザリーによると、OpenSSLでは証明書の検証を行う際に、最初の試行で証明書チェーンを確立できなかった場合は代替証明書チェーンを探そうとするが、このロジックの実装に問題があり、攻撃者が代替チェーン証明書を偽造できてしまう恐れがある。

　この問題は、攻撃者による通信の傍受やデータの改ざん、トラフィックのリダイレクト、通信に割り込む中間者攻撃などに利用される可能性が指摘されている。

　脆弱性が存在するのはOpenSSL 1.0.2c、1.0.2b、1.0.1n、1.0.1oの各バージョン。更新版の1.0.2dと1.0.1pで脆弱性が修正された。

　深刻度は「高」と評価されている。ただ、現時点でこの脆弱性を突く攻撃の発生は確認されていないという。