速報
» 2004年03月18日 09時00分 UPDATE

OpenSSLにDoS攻撃招く脆弱性

OpenSSLにサービス妨害(DoS)攻撃に悪用される恐れがある2件の脆弱性が発見された。修正後のバージョンがリリースされている。セキュリティ企業のSecuniaはこれらの深刻度を「中程度」と評価。

[ITmedia]

 オープンソースのSecure Sockets Layer(SSL)/Transport Layer Security(TLS)実装を開発するOpenSSL Projectは3月17日、2件の脆弱性が発見されたと報告、修正後のバージョンをリリースした。

 セキュリティ企業のSecuniaはこれらの深刻度を「中程度」と評価している。サービス妨害(DoS)攻撃に悪用される恐れがあるという。

 一つ目の脆弱性は、do_change_cipher_spec()関数のnull-pointer assignment(ナルポインタ割り当て)に含まれる。OpenSSLのバージョン0.9.6c〜0.9.6lおよびバージョン0.9.7a〜0.9.7cがこの問題の影響を受ける。

 また、Kerberos暗号セット利用時のSSL/TLSハンドシェイクにも脆弱性が見つかった。ただし、ほとんどのアプリケーションにはKerberos暗号セットを利用する機能は含まれておらず、そうしたアプリケーションは影響を受けないとしている。脆弱性を含むバージョンは0.9.7a〜0.9.7c。

 OpenSSL Projectはこれらの脆弱性に対応した0.9.6mもしくは0.9.7dへのアップグレードを勧めている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -