OpenSSLについては、2014年4月のHeartbleed脆弱性の後、同様の事象を徹底的に防ぐ取り組みの優先順位が上がり、暗号ライブラリを強化する取り組みが行われてきました。
2015年3月16日、OpenSSLプロジェクトチームがいくつかの脆弱性に対応する新バージョンのOpenSSLをリリース予定と予告しました。
[openssl-announce] Forthcoming OpenSSL releases
2015年3月19日、予告通りOpenSSLの新バージョンが公開されました。セキュリティアドバイザリーによると、脆弱性の修正は14項目にわたり、危険度「高」が2つ、危険度「中」が9つ、危険度「低」が3つとのことです。以下では、危険度「高」の2件について解説します。
危険度「高」の2つの脆弱性について
まず初めに、危険度「高」とされた2つの脆弱性は、証明書自体に直接影響があるというわけではございません。SSLサーバ証明書の再発行、失効、再設定などは不要で、現状のままご利用いただけます。
1)CVE-2015-0291 – "ClientHello sigalgs DoS".
当脆弱性は、OpenSSL 1.0.2のみが対象で、この脆弱性を突かれるとDoS攻撃を仕掛けられる可能性があります。 当脆弱性は、OpenSSL1.0.2をご利用中のお客様に影響があります。1.0.2aにアップデートをしてください。加えて、ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。
当脆弱性は、OpenSSL 1.0.2のみが対象で、この脆弱性を突かれるとDoS攻撃を仕掛けられる可能性があります。 当脆弱性は、OpenSSL1.0.2をご利用中のお客様に影響があります。1.0.2aにアップデートをしてください。加えて、ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。
2) CVE-2015-0204 – "RSA silently downgrades to EXPORT_RSA".
当脆弱性は、2015年2月にすでに危険度「低」として公表されている「FREAK」と呼ばれる脆弱性が危険度「高」に昇格したものです。この変更の理由は、最新の研究結果によると影響を受ける範囲が当初の想定よりも広かったためとのことです。
当脆弱性は、2015年2月にすでに危険度「低」として公表されている「FREAK」と呼ばれる脆弱性が危険度「高」に昇格したものです。この変更の理由は、最新の研究結果によると影響を受ける範囲が当初の想定よりも広かったためとのことです。
当脆弱性は、OpenSSLのバージョン1.0.1, 1.0.0, 0.9.8に影響があります。以下のようにアップデートをしてください。加えて、ソフトウェアベンダーとともに最新のセキュリティアドバイザリーと利用可能なアップデートをご確認ください。
- OpenSSL 1.0.1をご利用中のお客様 ⇒ 1.0.1kにアップグレード
- OpenSSL 1.0.0をご利用中のお客様 ⇒ 1.0.0pにアップグレード
- OpenSSL 0.9.8をご利用中のお客様 ⇒ 0.9.8zdにアップグレード
関連する記事