WebサイトのSSL/TLS、VPN等、広く利用されているOpenSSLにて複数の脆弱性が公開され、修正版がリリースされました。 6件の脆弱性の内、2件はセキュリティに重大な影響を及ぼす可能性があるため、早期のパッチの適用が望まれます。簡単に概要を以下に記します。

CVE-2016-2108の問題としては、ASN.1エンコーダにバッファーアンダーフローによるメモリ破損の問題が存在していたこととASN.1のパーザーがユニバーサルタグを負の整数値として解釈する事が出来たことで攻撃者はアウトオブバウンドの書き込みを行う事ができる可能性がありました。

CVE-2016-2107の問題は、接続時にAES CBC暗号とサーバがAES-NIをサポートしている場合は、パディングオラクル攻撃により、トラフィックの復号が可能となっています。

上記に対しての解決方法は、主要なLinuxディストリビューションで既に提供がされているパッチを使用し、OpenSSLのアップグレードを行ってください。

まずは第一報として本ブログを掲載しております。 続報がある場合には、ブログまたは弊社のニュースサイトに掲載を行ってまいります。