OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ

悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。

» 2014年04月08日 07時27分 公開
[鈴木聖子,ITmedia]

 オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に64Kバイトのメモリが露呈されてしまう脆弱性が発覚し、この問題を修正した「OpenSSL 1.0.1g」が4月7日に公開された。

 OpenSSLのセキュリティ情報によると、脆弱性はTLS Heartbeat拡張の処理における境界チェックの不備に起因する。悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。

 この脆弱性は、OpenSSL 1.0.1fと1.0.2-beta1を含む1.0.1および1.0.2-betaリリースに存在しており、1.0.1gで修正された。直ちにアップグレードできない場合のために、「OPENSSL_NO_HEARTBEATS」のフラグを有効にして再コンパイルする方法も紹介している。

 この問題についてOpenSSLを使ったサービスを提供しているセキュリティ企業のCloudFlareは、脆弱性情報が一般に公開される前に関係者に提供され、事前に問題を修正できたと説明。OpenSSLを使っているサーバは全て、バージョン1.0.1gにアップグレードするよう勧告している。

関連キーワード

OpenSSL | 脆弱性


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ