ニュース

【ニュース】openSSLにて中間者攻撃が可能な脆弱性等が修正されたバージョンが公開

更新日:

その他にも脆弱性はありますが、これがかなりインパクトのある脆弱性かと・・・・ 本日openSSLのアップデートが行われ、中間者攻撃が可能な脆弱性を含めた4または6件ほかの修正が行われた0.9.8za, 1.0.0m, 1.0.1hが公開されました。

 

 

「OpenSSL Security Advisory [05 Jun 2014]」

http://www.openssl.org/news/secadv_20140605.txt

「OpenSSLにまた危険度の高い脆弱性、中間者攻撃につながる恐れ、修正版が公開」 - INTERNET Watch

http://internet.watch.impress.co.jp/docs/news/20140606_652154.html

「OpenSSL:暗号化ソフトに新たな重大欠陥 16年間気付かれず」 - 毎日新聞

http://mainichi.jp/feature/news/20140606mog00m040026000c.html

 

今回のアップデートでは以下の脆弱性が修正されています。

  • CCSプロトコルの実装に生じた中間者攻撃が可能な脆弱性(CVE-2014-0224)
  • DTLSパケット処理においてDoS攻撃が可能な脆弱性(CVE-2014-0221)
  • DTLSフラグメントにおいてバッファオーバーフローにより任意のコードの実行が可能な脆弱性(CVE-2014-0195)
  • 匿名でのECDH有効化時にDoS攻撃が可能となる脆弱性(CVE-2014-3470)

他2件...

などとなっているようです。

特に赤で示した中間者攻撃が可能な脆弱性は事実上第3者による通信内容の盗み見が可能となりうる脆弱性なだけに、(状況が限られるとはいえ)サービス提供者は利用者保護の観点から早めにアップデートを行うようにしましょう。

( ちなみに現在、Monappyやmonaxなどにおいては対応が行われているようです。)

 

中間者攻撃の詳しいことに関しては発見者である菊池正史氏が所属する「株式会社lepidum」のページにて解説がなされているようですのでそちらも参考にしてみてください。

「CCS Injection Vulnerability」 - lepidum

http://ccsinjection.lepidum.co.jp/ja.html

 

しかし4月ごろに発見されたHeart bleedバグに引き続き重大なバグの発見となりました。 しかもこのバグ、16年間気付かれることなく存在し続けたという話が出ておりopenSSLライブラリそのものの信頼性すら揺らぎ始めています。

現在、 Heart bleed バグの件から作成されたfork版である「LibReSSL」の開発をOpenBSDプロジェクトが行っているとのことですので、場合によっては今後こちらのライブラリが使用され出すかもしれません。

 

「LibReSSL」

http://www.libressl.org/

投稿者プロフィール

monaf
mona digest管理人です。 現在はmonacoinを中心として、各種暗号(仮想)通貨の記事を書かせてもらっています。
記事にしてほしいネタは左のタレこみフォームを利用して投下してもらうと気付きやすいです。
monacoin:MMditkELuURZgDPduLDLGYArA15G7nWFo3

-ニュース
-

Copyright© mona digest , 2018 All Rights Reserved Powered by STINGER.