ニュース
OpenSSLの更新版公開、「DROWN」の脆弱性に対処
OpenSSL 1.0.2gと1.0.1sでは「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じた。
OpenSSLプロジェクトチームは3月1日、予告通りにOpenSSLの更新版となるバージョン1.0.2gと1.0.1sを公開した。SSL/TLSに関して「DROWN」と呼ばれる新たな脆弱性が発覚したことを受け、SSLv2をデフォルトで無効にする措置を講じたほか、複数の脆弱性に対処している。
OpenSSLのセキュリティ情報によると、DROWNの脆弱性(危険度「高」)ではSSLv2をサポートしているサーバに対してクロスプロトコル攻撃が仕掛けられ、TLSセッションの暗号が解除される恐れがある。
OpenSSL 1.0.2gと1.0.1sでは他にも複数の脆弱性が修正された。このうち危険度「高」および「中」に指定された2件の脆弱性もSSLv2に関係している。
輸出グレードのプロトコルであるSSLv2については、DROWNの脆弱性だけでなく、多数の欠陥の存在が明らかになっているとして、OpenSSLチームではSSLv2を使用しないよう強く勧告している。
関連記事
- 「DROWN攻撃」の脆弱性が発覚、HTTPSサイトの33%に影響
攻撃を受ければ暗号を解除され、通信の内容を傍受される恐れがある。影響を受けるWebサイトには、日本の大手も含まれる。 - OpenSSL、更新版の公開を予告
更新版は日本時間3月1日午後10時〜2日午前2時ごろの間にリリース予定。危険度「高」の脆弱性が修正される。 - IKEにDDoSリフレクション攻撃の脆弱性、主要ベンダーに広範な影響
鍵交換に使われるIKE/IKEv2にDDoS増幅攻撃の脆弱性が見つかった。主要ベンダーやオープンソースプロジェクトに広く影響が及ぶ可能性がある。 - OpenSSLの「Heartbleed」脆弱性に便乗攻撃、陰謀説や政府機関利用説も
パスワードの変更を促すリンク付きの詐欺メールが出回るなど、騒ぎに便乗する動きが浮上。各国の政府機関が利用していたのではないかといった憶測も飛び交っている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.