1. OpenSSLのセキュリティアップデートが公開

OpenSSLのセキュリティアップデートが公開

  • このエントリーをはてなブックマークに追加

WebサイトのSSL/TLS、VPN等、広く利用されているOpenSSLにて複数の脆弱性が公開され、修正版がリリースされました。 6件の脆弱性の内、2件はセキュリティに重大な影響を及ぼす可能性があるため、早期のパッチの適用が望まれます。簡単に概要を以下に記します。

CVE-2016-2108の問題としては、ASN.1エンコーダにバッファーアンダーフローによるメモリ破損の問題が存在していたこととASN.1のパーザーがユニバーサルタグを負の整数値として解釈する事が出来たことで攻撃者はアウトオブバウンドの書き込みを行う事ができる可能性がありました。

CVE-2016-2107の問題は、接続時にAES CBC暗号とサーバがAES-NIをサポートしている場合は、パディングオラクル攻撃により、トラフィックの復号化が可能となっています。

上記に対しての解決方法は、主要なLinuxディストリビューションで既に提供がされているパッチを使用し、OpenSSLのアップグレードを行ってください。

まずは第一報として本ブログを掲載しております。 続報がある場合には、ブログまたは弊社のニュースサイトに掲載を行ってまいります。

  • このエントリーをはてなブックマークに追加

この記事を書きました

グローバルサインブログ編集部

グローバルサインブログ編集部
所属:GMOグローバルサイン マーケティング部
当ブログの運営・管理を担当。マーケティング部=なんでも屋。
>>グローバルサインブログ編集部の記事一覧