2014年6月5日にOpenSSLについての6つの新たな脆弱性が公開されました。

OpenSSL Security Advisory [05 Jun 2014]

Heartbleedとして知られる2014年4月に公開されたOpenSSLの脆弱性とは異なり、今回の脆弱性において、SSLサーバ証明書の鍵情報の漏えいの可能性は、DTLSを実行している場合を除いてありません。 しかしながら、新たに発見されたSSL/TLSに含まれる脆弱性のバグは攻撃者が悪意のあるコードを用いてMan-in-the-Middle(MITM)攻撃を行うことで、結果として重要なデータが漏洩する可能性があります。またDTLSの脆弱性はソフトウェアやデバイスに悪意のあるコードを組み込まれる可能性があります。

推奨対応

全てのOpenSSLユーザはアップデートを行い、即座に推奨する環境にしてください。
DTLSを実行していないのであれば、証明書の再発行は必要ありません。DTLSを実行しているのであれば、幾つかの追加の手順が要求されます。

OpenSSLセキュリティアドバイザリは以下を推奨しています。

  • OpenSSL 0.9.8 SSL/TLS ユーザー (クライアントあるいはサーバー) は0.9.8zaにアップグレードするべき
  • OpenSSL 1.0.0 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.1hにアップグレードするべき
  • OpenSSL 0.9.8 DTLS ユーザーは0.9.8zaにアップグレードするべき
  • OpenSSL 1.0.0 DTLS ユーザーは1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 DTLS ユーザーは1.0.1hにアップグレードするべき
  • OpenSSL 1.0.0 ユーザーは1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 ユーザーは1.0.1hにアップグレードするべき

OpenSSLの脆弱性やアップグレードに関する詳細は、OpenSSLのWebサイトにて記載されていますのでご確認ください。

トピック関連記事

#

2020年06月09日

パスワードだけの無線LANやWi-Fiはハッキングの危険性大

#

2014年12月10日

POODLE脆弱性がSSL 3.0からTLS 1.0 / TLS 1.1に拡大

#

2016年06月23日

あなたの会社がピンポイントで狙われている!標的型攻撃の脅威

この記事を書きました

Doug Beattie

Doug Beattie
所属:Vice President, Product Management, GlobalSign Inc.