OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。
OpenSSLプロジェクトチームは3月1日、予告通りにOpenSSLの更新版となるバージョン1.0.2gと1.0.1sを公開した。SSL/TLSに関して「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じたほか、複数の脆弱性に対処している。
OpenSSLのセキュリティ情報によると、DROWNの脆弱性(危険度「高」)ではSSLv2をサポートしているサーバに対してクロスプロトコル攻撃が仕掛けられ、TLSセッションの暗号が解除される恐れがある。
OpenSSL 1.0.2gと1.0.1sでは他にも複数の脆弱性が修正された。このうち危険度「高」および「中」に指定された2件の脆弱性もSSLv2に関係している。
輸出グレードのプロトコルであるSSLv2については、DROWNの脆弱性だけでなく、多数の欠陥の存在が明らかになっているとして、OpenSSLチームではSSLv2を使用しないよう強く勧告している。
Copyright © ITmedia, Inc. All Rights Reserved.