2014年6月5日にOpenSSLについての6つの新たな脆弱性が公開されました。

OpenSSL Security Advisory [05 Jun 2014]

Heartbleedとして知られる2014年4月に公開されたOpenSSLの脆弱性とは異なり、今回の脆弱性において、SSLサーバ証明書の鍵情報の漏えいの可能性は、DTLSを実行している場合を除いてありません。 しかしながら、新たに発見されたSSL/TLSに含まれる脆弱性のバグは攻撃者が悪意のあるコードを用いてMan-in-the-Middle(MITM)攻撃を行うことで、結果として重要なデータが漏洩する可能性があります。またDTLSの脆弱性はソフトウェアやデバイスに悪意のあるコードを組み込まれる可能性があります。

推奨対応

全てのOpenSSLユーザはアップデートを行い、即座に推奨する環境にしてください。
DTLSを実行していないのであれば、証明書の再発行は必要ありません。DTLSを実行しているのであれば、幾つかの追加の手順が要求されます。

OpenSSLセキュリティアドバイザリは以下を推奨しています。

  • OpenSSL 0.9.8 SSL/TLS ユーザー (クライアントあるいはサーバー) は0.9.8zaにアップグレードするべき
  • OpenSSL 1.0.0 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.1hにアップグレードするべき
  • OpenSSL 0.9.8 DTLS ユーザーは0.9.8zaにアップグレードするべき
  • OpenSSL 1.0.0 DTLS ユーザーは1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 DTLS ユーザーは1.0.1hにアップグレードするべき
  • OpenSSL 1.0.0 ユーザーは1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 ユーザーは1.0.1hにアップグレードするべき

OpenSSLの脆弱性やアップグレードに関する詳細は、OpenSSLのWebサイトにて記載されていますのでご確認ください。

トピック関連記事

#

2015年04月06日

90年代から見過ごされてきたTLS/SSLの脆弱性「FREAK」に注意を

#

2016年05月09日

OpenSSLのセキュリティアップデートが公開

#

2016年08月22日

「盗聴や改ざん」は他人事ではない!中間者攻撃とは何か理解してその対策をたてよう

この記事を書きました

Doug Beattie

Doug Beattie
所属:Vice President, Product Management, GlobalSign Inc.