RubyのSSLクライアントに脆弱性、中間者攻撃に悪用の恐れ

RubyのOpenSSLに見つかった中間者攻撃の脆弱性を修正するアップデートが公開された。

» 2013年06月28日 07時29分 公開
[鈴木聖子,ITmedia]

 プログラミング言語RubyのSSLクライアントに中間者攻撃の脆弱性が見つかり、この問題を修正する更新版が6月27日にリリースされた。

 Rubyのセキュリティ情報によると、脆弱性は、OpenSSLで特定のホスト名が適切に処理されない問題に起因する。

 この問題を悪用された場合、リモートの攻撃者が認証局から有効な証明書を入手して、RubyのSSLクライアントとSSLサーバの間に割り込む中間者攻撃を仕掛けることが可能になるという。

 脆弱性を修正した更新版は、Ruby 2.0.0-p247、1.9.3-p448、1.8.7-p374となる。ほかに複数のバグ修正などが盛り込まれ、1.8.7-p374ではサービス妨害(DoS)の脆弱性も併せて修正されている。

関連キーワード

Ruby | 脆弱性 | SSL | 中間者攻撃


Copyright © ITmedia, Inc. All Rights Reserved.