OpenSSLにDoS攻撃招く脆弱性

[ITmedia]

　オープンソースのSecure Sockets Layer（SSL）／Transport Layer Security（TLS）実装を開発するOpenSSL Projectは3月17日、2件の脆弱性が発見されたと報告、修正後のバージョンをリリースした。

　セキュリティ企業のSecuniaはこれらの深刻度を「中程度」と評価している。サービス妨害（DoS）攻撃に悪用される恐れがあるという。

　一つ目の脆弱性は、do_change_cipher_spec()関数のnull-pointer assignment（ナルポインタ割り当て）に含まれる。OpenSSLのバージョン0.9.6c〜0.9.6lおよびバージョン0.9.7a〜0.9.7cがこの問題の影響を受ける。

　また、Kerberos暗号セット利用時のSSL／TLSハンドシェイクにも脆弱性が見つかった。ただし、ほとんどのアプリケーションにはKerberos暗号セットを利用する機能は含まれておらず、そうしたアプリケーションは影響を受けないとしている。脆弱性を含むバージョンは0.9.7a〜0.9.7c。

　OpenSSL Projectはこれらの脆弱性に対応した0.9.6mもしくは0.9.7dへのアップグレードを勧めている。