ニュース
OpenSSLの更新版公開、危険度「高」の脆弱性に対処
更新版の「OpenSSL 1.1.0e」では、認証暗号化方式「Encrypt-Then-Mac」(EtM)の拡張機能に関する脆弱性に対処した。
OpenSSLの開発元は米国時間の2月16日、更新版となる「OpenSSL 1.1.0e」を公開し、1件の脆弱性を修正した。
OpenSSLのセキュリティ情報によると、更新版では認証暗号化方式「Encrypt-Then-Mac」(EtM)の拡張機能に関する脆弱性に対処した。悪用されればクライアントまたはサーバがクラッシュする可能性を指摘している。
米セキュリティ機関SANS Internet Storm Centerによれば、攻撃者がまずEncrypt-Then-Macを使わずにSSL接続処理を行い、その後再度のハンドシェイク処理を行う際にEncrypt-Then-Macを使用すると、クラッシュを誘発される恐れがある。
危険度は4段階で上から2番目に高い「高」に分類され、開発元はOpenSSL 1.1.0のユーザーに対してバージョン1.1.0eに更新するよう呼び掛けている。主要Linuxディストリビューションも更新版を公開する見通し。なお、バージョン1.0.2はこの問題の影響は受けないという。
関連記事
- OpenSSLが公開予告、深刻度「高」の脆弱性が存在
日本時間では2月16日夜以降にリリースされる見込みだ。 - OpenSSLの更新版公開、DoSの脆弱性を修正
「OpenSSL 1.1.0c」ではバージョン1.1.0に存在するDoSの脆弱性など3件の問題を修正した。 - OpenSSLにまた更新版、前回更新版に深刻な脆弱性
米国時間9月22日に公開されたパッチのうち、一部に問題が見つかった。 - OpenSSLの更新版公開、DoSの脆弱性など修正
「OpenSSL 1.1.0a」「同1.0.2i」「同1.0.1u」が公開され、14件の脆弱性が修正された。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.