エンタープライズ:ニュース | 2003/10/01 11:45:00 更新 |
OpenSSLに複数のセキュリティホール
9月30日、OpenSSLに複数のセキュリティホールが存在することが明らかになった。開発に当たっているOpenSSLプロジェクトでは問題を修正したバージョンへのアップグレードを呼びかけている。
オープンソースのSecure Sockets Layer(SSL)/Transport Layer Security(TLS)実装で、いくつかのLinuxディストリビューションにも含まれているOpenSSLに複数のセキュリティホールが発見された。開発に当たっているOpenSSLプロジェクトでは9月30日付けでアドバイザリを公開し、問題を修正したバージョンへのアップグレードを推奨している。
一連の問題の影響を受けるのは、OpenSSL 0.9.6j/0.9.7bおよびそれ以前のバージョン。SSLeayも全バージョンが影響を受けるという。DoS(サービス妨害)攻撃を受けるおそれがあるほか、未確認だが、バッファオーバーフローを通じて任意のコードを実行される可能性も否定できない。
具体的には、
- 特定のASN.1エンコーディング処理に問題があり、DoSを引き起こされるおそれがある
- ASN.1タグの解釈に問題があり、細工を施したASN.1タグを通じてある環境下でDoSを引き起こされるおそれがある
- 電子証明書内に細工を施した公開鍵を記すことで、検証時の処理にエラーが生じ、DoSを引き起こされるおそれがある。
- SSL/TLSプロトコル処理に問題があり、特にリクエストせずともサーバが勝手にクライアント証明書の解析を試みることがある。このこと自体が深刻な問題を引き起こすわけではないが、上記3つの問題点と組み合わせて悪用されるおそれがある
という問題点が指摘されている。同プロジェクトでは、問題を解決したOpenSSL 0.9.7c/0.9.6kへアップグレードし、OpenSSLライブラリにリンクされているすべてのアプリケーションをリコンパイルするよう勧めている。またこの問題を受けて、RedHat Linuxなどいくつかのディストリビューションが、問題を修正したパッケージを公開している。
関連記事パッチが出ても埋まらない穴
OpenSSLに脆弱性、最新版へのアップデートを
オープンソース Update:OpenSSL
関連リンク
OpenSSL
警察庁:OpenSSLの脆弱性について
[ITmedia]