F5の「BIG-IP」にメモリ流出の脆弱性、「Heartbleed」との類似点も:「Ticketbleed」と命名
F5のアプライアンス「BIG-IP」で「Session Tickets」というオプションの実装に問題があり、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。
米F5 Networksのアプライアンス「BIG-IP」シリーズ製品にメモリ流出の脆弱性が発見され、同社が2月9日にセキュリティ情報を公開した。発見者が詳細について解説した専用サイト(ticketbleed.com)も開設されている。
F5や専用サイトの情報によると、脆弱性はBIG-IPのTLS/SSLに存在する。繰り返される接続を高速化する機能「Session Tickets」の実装に問題があり、このオプションが有効になっていると(デフォルトでは無効)、1度に最大31バイトの初期化されていないメモリが流出する可能性がある。
リモートの攻撃者がこの問題を悪用すれば、SSLセッションIDを他のセッションから入手できてしまう恐れがある。また、他のデータを初期化されていないメモリから引き出すことも可能とされる。
この問題は、セキュリティ企業のCloudflareが顧客から報告された不具合について調査する過程で発見し、2016年10月にF5に通報していた。Cloudflareの研究者は、「Heartbleed」と呼ばれるOpenSSLの脆弱性と類似点があることから、今回の脆弱性を「Ticketbleed」と命名。ただしHeartbleedの場合は64Kもの情報が流出する恐れがあったのに対し、Ticketbleedでは31バイトにとどまり、攻撃にも手間がかかるという。
F5では影響を受ける製品とバージョンの一覧を公開し、修正済みのバージョンがある場合はそちらへ更新するよう呼び掛けている。また、回避策としてSession Ticketsを無効にする方法も紹介している。
関連記事
OpenSSLの脆弱性「Heartbleed」、約20万のサーバやサービスでいまだに放置
Shodanの報告書によると、1月22日の時点でHeartbleedの脆弱性が修正されないまま放置されているサーバやサービスは19万9594件に上る。
OpenSSLの更新版が公開――「Heartbleedほど悪くない」
OpenSSLの更新版が予告通りに公開された。危険度「高」に分類したサービス妨害(DoS)の脆弱性など計14件の脆弱性を修正している。
OpenSSLに脆弱性、クライアントやサーバにメモリ露呈の恐れ
悪用された場合、最大64Kバイトのメモリが接続されたクライアントやサーバに露呈される恐れがある。
OpenSSLの脆弱性、影響は極めて重大――パスワードや秘密鍵の流出も
パスワードや秘密鍵といった情報が簡単に盗まれてしまうことも実証され、影響は非常に広範に及ぶ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
ITmediaはアイティメディア株式会社の登録商標です。