JUN
09
2014

OpenSSLの新たな脆弱性について

著者:Doug Beattie

このエントリーをはてなブックマークに追加

2014年6月5日にOpenSSLについての6つの新たな脆弱性が公開されました。

Heartbleedとして知られる2014年4月に公開されたOpenSSLの脆弱性とは異なり、今回の脆弱性において、SSLサーバ証明書の鍵情報の漏えいの可能性は、DTLSを実行している場合を除いてありません。 しかしながら、新たに発見されたSSL/TLSに含まれる脆弱性のバグは攻撃者が悪意のあるコードを用いてMan-in-the-Middle(MITM)攻撃を行うことで、結果として重要なデータが漏洩する可能性があります。またDTLSの脆弱性はソフトウェアやデバイスに悪意のあるコードを組み込まれる可能性があります。

推奨対応

全てのOpenSSLユーザはアップデートを行い、即座に推奨する環境にしてください。
DTLSを実行していないのであれば、証明書の再発行は必要ありません。DTLSを実行しているのであれば、幾つかの追加の手順が要求されます。

OpenSSLセキュリティアドバイザリは以下を推奨しています。

  • OpenSSL 0.9.8 SSL/TLS ユーザー (クライアントあるいはサーバー) は0.9.8zaにアップグレードするべき
  • OpenSSL 1.0.0 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 SSL/TLS ユーザー (クライアントあるいはサーバー) 1.0.1hにアップグレードするべき
  • OpenSSL 0.9.8 DTLS ユーザーは0.9.8zaにアップグレードするべき
  • OpenSSL 1.0.0 DTLS ユーザーは1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 DTLS ユーザーは1.0.1hにアップグレードするべき
  • OpenSSL 1.0.0 ユーザーは1.0.0mにアップグレードするべき
  • OpenSSL 1.0.1 ユーザーは1.0.1hにアップグレードするべき

OpenSSLの脆弱性やアップグレードに関する詳細は、OpenSSLのWebサイトにて記載されていますのでご確認ください。

このエントリーをはてなブックマークに追加

著者

Doug Beattie

Vice President of Product Management, GlobalSign

公式SNS フォローはこちら

RSSフィード

Facebook

Twitter

Youtube

グローバルサイン最新情報をお届け

グローバルサインライブラリー

グローバルサインのSSLサーバ証明書により運営者情報が認証されています。

SSLはグローバルサイン - © 2007-2016 GMO GlobalSign K.K. All rights reserved.