is702

OpenSSLの脆弱性情報6件が新たに公開

2014/06/10

トレンドマイクロは6月9日、同社ブログで、「OpenSSLが脆弱性情報を公開 迅速に更新プログラム適用を」と題する記事を公開しました。

それによると、6月5日(米国時間)に、オープンソースの暗号通信ライブラリ「OpenSSL」に存在する脆弱性に対して、6つのセキュリティ情報と更新プログラムがOpenSSLプロジェクトにより公開されました。これらは、すでに広く報道されている脆弱性「Heartbleed」とは別のものです。

更新プログラムにより、「SSL/TLS MITM vulnerability(CVE-2014-0224)」「DTLS recursion flaw(CVE-2014-0221)」「DTLS invalid fragment vulnerability(CVE-2014-0195)」「SSL_MODE_RELEASE_BUFFERS NULL pointer dereference(CVE-2014-0198)」「SSL_MODE_RELEASE_BUFFERS session injection or denial of service(CVE-2010-5298)」「Anonymous ECDH denial of service(CVE-2014-3470)」といった脆弱性が解決されます。脆弱性を抱えるOpenSSLのサーバのバージョンは、1.0.1および1.0.2-beta1となっています。

中でも、SSL/TLS に存在する脆弱性を利用した中間者攻撃(MithM)が行なわれると、攻撃者は、脆弱性を抱える全てのクライアントとサーバ間の通信を遠隔から変更できるようになります。ただし、この脆弱性を利用した攻撃を成功させるためには、クライアントとサーバが双方とも脆弱性を抱えている必要があり、脆弱性「Heartbleed」に比べると、それほど深刻ではありません。その他の注意すべき脆弱性は、DTLS の無効なフラグメントの脆弱性です。この脆弱性が利用されると、任意のコードを実行できるようになり、システムのセキュリティを侵害します。さらに、「CVE-2014-0221」が利用されると、攻撃者は「サービス拒否(DoS)攻撃」が可能になります。

トレンドマイクロは、OpenSSLから公開されている最新の更新プログラムをシステムに適用し、これらの脆弱性を利用した潜在的な脅威からの危険性を軽減することを、強く推奨し、Web管理者に注意を呼びかけています。

  • ホスティングサービス(レンタルサーバー) OH!いいな
  • ファイル送信・受信・転送サービス センドファイル
  • 電話番号表示システム アイポップ
ホスティングサービス(レンタルサーバー) OH!いいな
ファイル送信・受信・転送サービス センドファイル
電話番号表示システム アイポップ