エンタープライズ:ニュース 2002/07/31 23:05:00 更新


OpenSSLに脆弱性、最新版へのアップデートを

オープンソース版のSSL、「OpenSSL」に、複数のセキュリティホールが発見された。米CERTが警告を出し、注意を促している。

 米セキュリティ対策組織のCERT/CCは7月30日、SSL(Secure Sockets Layer)のオープンソース版、「OpenSSL」に発見された複数の脆弱性について警告を発した。

 CERTのアドバイザリによると、影響を受けるのは、OpenSSLの0.9.6d以前のバージョン、プレリリース版の0.9.7-beta2以前のバージョンと、Kerberos対応付きのプレリリース版0.9.7-beta2、およびSSLeayライブラリだ。

 今回報告されたセキュリティホールは全部で5つ。うち3つは、外部の人間がリモート環境からバッファオーバーフローを引き起こすことができる可能性があるというもの。また、64ビットプラットフォームにおいて、整数のASCII representationsのバッファが小さすぎるという問題も指摘されている。

 これ以外に、OpenSSLが利用しているASN.1ライブラリにエンコーディングの問題が存在しており、攻撃者はこれらの脆弱性の一部を利用することで、リモートから、ターゲットシステム上で任意のコードを実行できるという。

 CERTでは対策として、この問題が解決されているバージョン0.9.6eにアップグレードするよう促している。またプレリリース版については、0.9.7-beta3でこの問題が解決されている。いずれもアップデートの後、OpenSSLによるSSL/TLSを用いているアプリケーションすべてをリコンパイルすることが望ましいという。

 また何らかの理由でパッチを適用できない、あるいは混雑のためパッチを入手できない場合などは、暫定的にサーバ側でSSL 2.0を無効にし、またクライアントでもSSL/TLSを利用しているアプリケーションを無効にすることが推奨される。

関連リンク
▼CERT
▼OpenSSL.org

[ITmedia]