14/06/07 11:09:28.30 fQIO3ID20 BE:844761558-PLT(13051) ポイント特典
sssp://img.2ch.net/ico/syobo.gif
オープンソースのSSL/TLS実装「OpenSSL」に、新たに複数の脆弱(ぜいじゃく)性が発見された。中にはMan-in-the-Middle(MITM)攻撃によって、
暗号化通信の内容を第三者(=攻撃者)が読み取ったり、改ざんしたりすることができる深刻な脆弱性も含まれている。
開発元のOpenSSLプロジェクトは米国時間の2014年6月5日、セキュリティアドバイザリを公開し、6つの問題を修正したバージョン0.9.8za/1.0.0m/
1.0.1hへのアップグレードを呼び掛けた。Ubuntu、FreeBSD、RedhHatといった各ディストリビューションも修正版の配布を開始している。
このうちMITM攻撃につながる脆弱性(CVE-2014-0224)は、「ChangeCipherSpec (CCS) Injection Vulnerability」と呼ばれており、
日本のネットワーク/セキュリティ技術・研究開発企業、レピダムの菊池正史氏が発見した。公開されたブログによると、
この脆弱性はOpenSSLの最初のリリースから存在しており、16年もの間発見されてこなかった。原因は「TLS/SSLを実装したことのある
経験者が十分にレビューできてなかったこと」にあるという。
脆弱性はOpenSSL 0.9.8y以前の全てと1.0.0~1.0.0l、1.0.1~1.0.1gに存在する。OpenSSLのハンドシェーク中に、
不適切な状態でChangeCipherSpecを受理してしまうことが原因となって、第三者が知ることのできる「弱い鍵」を使用させるよう
仕向けることができる。この結果、本来ならば適切に暗号化されるはずの通信内容や認証情報など重要な情報を、
攻撃者によって詐取/改ざんされる恐れがある。プロトコルや暗号アルゴリズムには依存せず、影響を受ける恐れがあるという。
URLリンク(www.atmarkit.co.jp)