オープンソースのSSL/TLSツールキット「OpenSSL」の脆弱性に対処するセキュリティアップデートが1月7日付で公開された。
脆弱性はSSL/TLSに使われるDSA鍵とECDSA鍵の署名チェックが不適切なことに起因し、不正な署名が有効な署名として扱われてしまう可能性がある。
悪質なサーバを運営するリモートの攻撃者がこの脆弱性を利用すると、不正なSSL/TLS署名を提示してユーザーをだますことができてしまう。
OpenSSLプロジェクトではこの問題を修正したOpenSSL 0.9.8jを公開し、アップデートを呼びかけている。
関連記事
- OpenSSHに脆弱性、テキストリカバリ攻撃の恐れ
この脆弱性を悪用された場合、攻撃者がSSH接続経由で暗号文の任意のブロックから最大32ビットのプレーンテキストを取り出せるという。 - Debian OpenSSLの脆弱性はあなたのシステムにも影響する
DebianのOpenSSLパッケージに脆弱性が見つかった事件。自分のシステムはDebianでもUbuntuでもないから安心だと思っているサーバ管理者は、それが大きな間違いであることに一刻も早く気づき、対策を施すべきである。 - 古いOpenSSHが攻撃のターゲットに、JPCERT/CCが注意喚起
JPCERT/CCによると、脆弱性が残ったままの古いOpenSSHを用いているサーバが攻撃を受けたケースが複数報告されているという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.