2014年6月5日にOpenSSLについての6つの新たな脆弱性が公開されました。
OpenSSL Security Advisory [05 Jun 2014]
Heartbleedとして知られる2014年4月に公開されたOpenSSLの脆弱性とは異なり、今回の脆弱性において、SSLサーバ証明書の鍵情報の漏えいの可能性は、DTLSを実行している場合を除いてありません。 しかしながら、新たに発見されたSSL/TLSに含まれる脆弱性のバグは攻撃者が悪意のあるコードを用いてMan-in-the-Middle(MITM)攻撃を行うことで、結果として重要なデータが漏洩する可能性があります。またDTLSの脆弱性はソフトウェアやデバイスに悪意のあるコードを組み込まれる可能性があります。
推奨対応
全てのOpenSSLユーザはアップデートを行い、即座に推奨する環境にしてください。
DTLSを実行していないのであれば、証明書の再発行は必要ありません。DTLSを実行しているのであれば、幾つかの追加の手順が要求されます。
OpenSSLセキュリティアドバイザリは以下を推奨しています。
- OpenSSL 0.9.8 SSL/TLS ユーザー (クライアントあるいはサーバー) は0.9.8zaにアップグレードするべき
- OpenSSL 1.0.0 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.0mにアップグレードするべき
- OpenSSL 1.0.1 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.1hにアップグレードするべき
- OpenSSL 0.9.8 DTLS ユーザーは0.9.8zaにアップグレードするべき
- OpenSSL 1.0.0 DTLS ユーザーは1.0.0mにアップグレードするべき
- OpenSSL 1.0.1 DTLS ユーザーは1.0.1hにアップグレードするべき
- OpenSSL 1.0.0 ユーザーは1.0.0mにアップグレードするべき
- OpenSSL 1.0.1 ユーザーは1.0.1hにアップグレードするべき
OpenSSLの脆弱性やアップグレードに関する詳細は、OpenSSLのWebサイトにて記載されていますのでご確認ください。
関連する記事