OpenSSLの更新版公開、「DROWN」の脆弱性に対処
OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。
» 2016年03月02日 08時14分 公開
[鈴木聖子,ITmedia]
OpenSSLプロジェクトチームは3月1日、予告通りにOpenSSLの更新版となるバージョン1.0.2gと1.0.1sを公開した。SSL/TLSに関して「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じたほか、複数の脆弱性に対処している。
OpenSSLのセキュリティ情報によると、DROWNの脆弱性(危険度「高」)ではSSLv2をサポートしているサーバに対してクロスプロトコル攻撃が仕掛けられ、TLSセッションの暗号が解除される恐れがある。
OpenSSL 1.0.2gと1.0.1sでは他にも複数の脆弱性が修正された。このうち危険度「高」および「中」に指定された2件の脆弱性もSSLv2に関係している。
輸出グレードのプロトコルであるSSLv2については、DROWNの脆弱性だけでなく、多数の欠陥の存在が明らかになっているとして、OpenSSLチームではSSLv2を使用しないよう強く勧告している。
関連記事
「DROWN攻撃」の脆弱性が発覚、HTTPSサイトの33%に影響
攻撃を受ければ暗号を解除され、通信の内容を傍受される恐れがある。影響を受けるWebサイトには、日本の大手も含まれる。
OpenSSL、更新版の公開を予告
更新版は日本時間3月1日午後10時〜2日午前2時ごろの間にリリース予定。危険度「高」の脆弱性が修正される。
IKEにDDoSリフレクション攻撃の脆弱性、主要ベンダーに広範な影響
鍵交換に使われるIKE/IKEv2にDDoS増幅攻撃の脆弱性が見つかった。主要ベンダーやオープンソースプロジェクトに広く影響が及ぶ可能性がある。
OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も
パスワードの変更を促すリンク付きの詐欺メールが出回るなど、騒ぎに便乗する動きが浮上。各国の政府機関が利用していたのではないかといった憶測も飛び交っている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- ゼロトラストの最新トレンド5つをガートナーが発表
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
ITmediaはアイティメディア株式会社の登録商標です。