ニュース
OpenSSLのRPK実装に重大な脆弱性 中間者攻撃を実行可能にするリスク:セキュリティニュースアラート
OpenSSLに重大な脆弱性が存在することが分かった。中間者攻撃が実行される可能性があり、TLS/DTLS通信の傍受が懸念される。ユーザーは速やかに修正済みの最新バージョンにアップデートすることが望まれる。
OpenSSLプロジェクトは2025年2月11日(現地時間)、OpenSSLに重大な脆弱(ぜいじゃく)性(CVE-2024-12797)があることを発表した。この脆弱性はAppleによって報告されたものとされ、悪用された場合、攻撃者が中間者攻撃(MITM)(※)を実行し、TLS/DTLS通信が傍受される可能性がある。
(※)通信に割り込み、盗聴などを実行するサイバー攻撃
中間者攻撃を許す欠陥、OpenSSLでRPK実装に問題
脆弱性のCVE情報は以下の通りだ。
- CVE-2024-12797: 中間者攻撃を許す可能性のある脆弱性。RFC7250で定義されるRPK(Raw Public Key)を使用するクライアントに影響を与える欠陥とされ、認証されていないサーバとのハンドシェイクが適切に中断されない可能性がある。通常、TLSクライアントはSSL_VERIFY_PEERを設定することでサーバ認証に失敗した際に接続を拒否する。しかしこの脆弱性が存在する環境ではこの検証が適切に機能しないため、悪意のある第三者が中間者攻撃を実行できる可能性がある。OpenSSLプロジェクトは同脆弱性の深刻度を「重要」(High)と評価している
影響を受けるバージョンは以下の通りだ。
- OpenSSL 3.4.0
- OpenSSL 3.3.0および3.3.1
- OpenSSL 3.2.0から3.2.3までのバージョン
修正されたバージョンは以下の通りだ。
- OpenSSL 3.4.1
- OpenSSL 3.3.3
- OpenSSL 3.2.4
なお、同脆弱性はOpenSSL 3.2でRPKサポートが導入された際に発生したものとされているため、FIPSモジュールの3.4、3.3、3.2、3.1、3.0はこの問題の影響を受けないとされている。またOpenSSL 3.1、3.0、1.1.1、1.0.2もこの問題の影響を受けないとされている。
影響を受けるバージョンを使用しているユーザーは速やかに修正済みの最新バージョンにアップデートすることが強く推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
話題のDDoS攻撃もこれで安心? 無料で始めるワンステップ先のセキュリティ対策3選
毎年2月は「サイバーセキュリティ月間」です。IPAの「情報セキュリティ10大脅威」で触れられている脅威に対抗し、組織全体のセキュリティを強化するきっかけとして、今回は今すぐできて、しかも“無料”の対策を紹介します。
OpenAIユーザーの認証情報2000万件が漏えいか? 脅威アクターが主張
OpenAIユーザーのログイン認証情報2000万件以上がダークWebで販売されていることが判明した。OpenAIはこのインシデントに関して深刻に受け止めており、現在、詳細な調査を進めている。
ChatGPTにマルウェアを作らせる 新たな脱獄手法「Time Bandit」の詳細
ChatGPTの新たな脱獄手法「Time Bandit」が発見された。時間的混乱を利用することで、マルウェアの開発方法など、本来提供されるべきでない情報を引き出すことが可能とされている。
情報セキュリティ10大脅威2025年版が公開 新たに加わった2つの脅威に注目
IPAから2025年版の「情報セキュリティ10大脅威」が公開されました。「組織編」では今回、前年と比較して新たに2つの脅威がランクインしています。このコラムではこれを踏まえて注目すべき脅威とその対策を考えます。