OpenSSLにまた脆弱性--最新版で修正

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部

2015-07-10 10:20

 OpenSSLの証明書チェーン構築処理に不具合が発見された。今回のOpenSSLのセキュリティホールは、「Heartbleed」や「FREAK」、「Logjam」のような深刻なレベルのものではないが、パッチを遅らせていいほど軽い問題でもないため、速やかにアップデートを適用すべきだ。

 幸い、影響を受けるOpenSSLのバージョンは、エンタープライズ向けのOSではあまり使用されていない。例えば今回の問題は、「Red Hat Enterprise Linux」(RHEL)や「Ubuntu」のサポート対象バージョンには影響がない。Ubuntuに関しては、15.10に向けた開発中のバージョンには影響があるが、パッチはすでに提供されている。

 このOpenSSLの脆弱性は次のようなものだ。

 OpenSSLが証明書の検証を開始する際、証明書チェーンを構築する最初の試みで失敗すると、別の証明書チェーンを発見しようとする。しかし、現在の実装には問題があり、その際に信頼されていない新しい証明書に対するセキュリティチェックが一部省略されてしまっている。例えば、今回の実装では認証局(CA)のフラグを確認していないため、攻撃者が有効なリーフ証明書を使用して、CAとして偽の証明書を発行することが可能になっている。このセキュリティホールを利用すれば、攻撃者が偽のサイトを正規のサイトに偽装できる。

 このセキュリティホールは、中間者攻撃を可能にしてしまう。

 この問題の影響を受けるOpenSSLのバージョンは、1.0.2c、1.0.2b、1.0.1n、1.0.1oだ。OpenSSL 1.0.2b/1.0.2cのユーザーは1.0.2dに、OpenSSL 1.0.1n/1.0.1oのユーザーは、1.0.1pにアップグレードする必要がある。

 このセキュリティホール(CVE-2015-1793)は、Googleの「BoringSSL」の開発者によって発見された。BoringSSLは、Googleが独自に開発しているオープンソースのSSLだ。BoringSSLのアプリケーションプログラミングインターフェース(API)とアプリケーションバイナリインターフェース(ABI)は、セキュリティ用のプログラムとして広く使用できるほどは安定しておらず、まだオープンソースプロジェクトとしてOpenSSLの代わりに使用できるものではない。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]