F5の「BIG-IP」にメモリ流出の脆弱性、「Heartbleed」との類似点も:「Ticketbleed」と命名
F5のアプライアンス「BIG-IP」で「Session Tickets」というオプションの実装に問題があり、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。
米F5 Networksのアプライアンス「BIG-IP」シリーズ製品にメモリ流出の脆弱性が発見され、同社が2月9日にセキュリティ情報を公開した。発見者が詳細について解説した専用サイト(ticketbleed.com)も開設されている。
F5や専用サイトの情報によると、脆弱性はBIG-IPのTLS/SSLに存在する。繰り返される接続を高速化する機能「Session Tickets」の実装に問題があり、このオプションが有効になっていると(デフォルトでは無効)、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。
リモートの攻撃者がこの問題を悪用すれば、SSLセッションIDを他のセッションから入手できてしまう恐れがある。また、他のデータを初期化されていないメモリから引き出すことも可能とされる。
この問題は、セキュリティ企業のCloudflareが顧客から報告された不具合について調査する過程で発見し、2016年10月にF5に通報していた。Cloudflareの研究者は、「Heartbleed」と呼ばれるOpenSSLの脆弱性と類似点があることから、今回の脆弱性を「Ticketbleed」と命名。ただしHeartbleedの場合は64Kもの情報が流出する恐れがあったのに対し、Ticketbleedでは31バイトにとどまり、攻撃にも手間がかかるという。
F5では影響を受ける製品とバージョンの一覧を公開し、修正済みのバージョンがある場合はそちらへ更新するよう呼び掛けている。また、回避策としてSession Ticketsを無効にする方法も紹介している。
関連記事
- OpenSSLの脆弱性「Heartbleed」、約20万のサーバやサービスでいまだに放置
Shodanの報告書によると、1月22日の時点でHeartbleedの脆弱性が修正されないまま放置されているサーバやサービスは19万9594件に上る。 - OpenSSLの更新版が公開――「Heartbleedほど悪くない」
OpenSSLの更新版が予告通りに公開された。危険度「高」に分類したサービス妨害(DoS)の脆弱性など計14件の脆弱性を修正している。 - OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。 - OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も
パスワードや秘密鍵といった情報が簡単に盗まれてしまうことも実証され、影響は非常に広範に及ぶ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.