ニュース
GnuTLSに脆弱性、主要なLinuxディストリビューションに影響
攻撃者が不正な証明書を使って証明書チェックをかわし、正規のWebサイトやサーバを装って中間者攻撃を仕掛けることが可能だという。
Red Hatなどの主要Linuxディストリビューションに使われているオープンソースのSSL/TLSライブラリ「GnuTLS」に脆弱性が見つかった。通信に割り込む「中間者攻撃」に使われる恐れがあることから、米US-CERTは3月5日にセキュリティ情報を出し、脆弱性解決のためのアップデートを適用するよう呼び掛けている。
GnuTLSチームのアドバイザリーによると、脆弱性はGnuTLSの証明書チェック機能に存在する。この問題を突いて細工を施した「X509」証明書を利用すれば、証明書チェックをかわし、正規のWebサイトやサーバを装って中間者攻撃を仕掛けることが可能だという。
脆弱性を修正するためには、GnuTLS最新バージョンの3.2.12/3.1.22にアップデートするか、2.12.x向けのパッチを適用する必要がある。
この脆弱性は、Red HatでGnuTLSの監査中に見つかったといい、同社も「Red Hat Enterprise Linux 6」向けにGnuTLSの脆弱性を修正するアップデート版のパッケージを公開した。GnuTLSはほかにもDebianやUbuntuなどのLinuxディストリビューションにも使われている。
関連記事
- iOSのSSL/TLS通信傍受の脆弱性は「悪夢」、OS Xにも存在
- 研究者が新たなTLS/SSLの脆弱性攻撃ツール発表へ、HTTPSセッションを乗っ取り可能
- Linuxに権限昇格の脆弱性、エクスプロイトも出回る
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.