WebサイトのSSL/TLS、VPN等、広く利用されているOpenSSLにて複数の脆弱性が公開され、修正版がリリースされました。 6件の脆弱性の内、2件はセキュリティに重大な影響を及ぼす可能性があるため、早期のパッチの適用が望まれます。簡単に概要を以下に記します。

CVE-2016-2108の問題としては、ASN.1エンコーダにバッファーアンダーフローによるメモリ破損の問題が存在していたこととASN.1のパーザーがユニバーサルタグを負の整数値として解釈する事が出来たことで攻撃者はアウトオブバウンドの書き込みを行う事ができる可能性がありました。

CVE-2016-2107の問題は、接続時にAES CBC暗号とサーバがAES-NIをサポートしている場合は、パディングオラクル攻撃により、トラフィックの復号が可能となっています。

上記に対しての解決方法は、主要なLinuxディストリビューションで既に提供がされているパッチを使用し、OpenSSLのアップグレードを行ってください。

まずは第一報として本ブログを掲載しております。 続報がある場合には、ブログまたは弊社のニュースサイトに掲載を行ってまいります。

トピック関連記事

#

2017年04月14日

多要素認証の有効性 -ID・パスワードだけの認証の限界とより強固な認証方法

#

2021年07月28日

SMSを利用したフィッシング詐欺「スミッシング」から身を守るには

#

2015年08月17日

相次ぐSSL関連の脆弱性 その4 ~OpenSSL脆弱性を振り返る~

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。