ニュース
» 2016年03月02日 08時14分 UPDATE

OpenSSLの更新版公開、「DROWN」の脆弱性に対処

OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。

[鈴木聖子,ITmedia]
spnsl01.jpg 「DROWN」問題にも対処した(OpenSSL.orgより)

 OpenSSLプロジェクトチームは3月1日、予告通りにOpenSSLの更新版となるバージョン1.0.2gと1.0.1sを公開した。SSL/TLSに関して「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じたほか、複数の脆弱性に対処している。

 OpenSSLのセキュリティ情報によると、DROWNの脆弱性(危険度「高」)ではSSLv2をサポートしているサーバに対してクロスプロトコル攻撃が仕掛けられ、TLSセッションの暗号が解除される恐れがある。

 OpenSSL 1.0.2gと1.0.1sでは他にも複数の脆弱性が修正された。このうち危険度「高」および「中」に指定された2件の脆弱性もSSLv2に関係している。

 輸出グレードのプロトコルであるSSLv2については、DROWNの脆弱性だけでなく、多数の欠陥の存在が明らかになっているとして、OpenSSLチームではSSLv2を使用しないよう強く勧告している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -