ニュース
» 2017年02月10日 08時55分 UPDATE

「Ticketbleed」と命名:F5の「BIG-IP」にメモリ流出の脆弱性、「Heartbleed」との類似点も

F5のアプライアンス「BIG-IP」で「Session Tickets」というオプションの実装に問題があり、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。

[鈴木聖子,ITmedia]

 米F5 Networksのアプライアンス「BIG-IP」シリーズ製品にメモリ流出の脆弱性が発見され、同社が2月9日にセキュリティ情報を公開した。発見者が詳細について解説した専用サイト(ticketbleed.com)も開設されている。

 F5や専用サイトの情報によると、脆弱性はBIG-IPのTLS/SSLに存在する。繰り返される接続を高速化する機能「Session Tickets」の実装に問題があり、このオプションが有効になっていると(デフォルトでは無効)、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。

photo F5のセキュリティ情報
photo 発見者が詳細について解説した専用サイト「ticketbleed.com」

 リモートの攻撃者がこの問題を悪用すれば、SSLセッションIDを他のセッションから入手できてしまう恐れがある。また、他のデータを初期化されていないメモリから引き出すことも可能とされる。

 この問題は、セキュリティ企業のCloudflareが顧客から報告された不具合について調査する過程で発見し、2016年10月にF5に通報していた。Cloudflareの研究者は、「Heartbleed」と呼ばれるOpenSSLの脆弱性と類似点があることから、今回の脆弱性を「Ticketbleed」と命名。ただしHeartbleedの場合は64Kもの情報が流出する恐れがあったのに対し、Ticketbleedでは31バイトにとどまり、攻撃にも手間がかかるという。

 F5では影響を受ける製品とバージョンの一覧を公開し、修正済みのバージョンがある場合はそちらへ更新するよう呼び掛けている。また、回避策としてSession Ticketsを無効にする方法も紹介している。

関連キーワード

脆弱性 | BIG-IP | セキュリティ


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -