OpenSSLのセキュリティパッチが公開、深刻度「高」含む12件の脆弱性を修正

Zack Whittaker (ZDNET.com) 翻訳校正: 編集部

2015-03-20 09:52

 OpenSSLの最新バージョンが米国時間3月19日に公開され、2件の深刻度「高」の脆弱性を含む、12件の脆弱性が修正された。公開されたのは、バージョン1.0.2a、1.0.1m、1.0.0r、および0.9.8zf。

 最も深刻なセキュリティホールは、バージョン1.0.2を利用しているサーバに影響があり、悪用されるとサービス妨害(DoS)攻撃を引き起こす。

 もう1件の深刻度「高」の脆弱性は、当初は「低」に分類されていたが、調査の結果、輸出グレードのRSA暗号をサポートしているサーバが想定よりも多かったために、深刻度が引き上げられた。

 OpenSSLは最も普及しており、広く利用できるオープンソースツールキットの1つで、SSLとTLSを実装している。このソフトウェアは、Facebook、Google、Yahooを含む多くの有名なサービスや、政府のサイトなどでも利用されている。

 OpenSSLプロジェクトに対する信頼は、最近話題になった一連のセキュリティホールが、このソフトウェアを利用している多くのサーバやウェブサイト、データベースの安全性を脅かしたことで揺らぎ、立て直しを迫られている。

 2014年4月には、古いバージョンのOpenSSLに「Heartbleed」として知られるバグが発見された。このバグは、クレジットカードのトランザクションなどの暗号化されたデータが暴露される可能性があるもので、SSLのキーそのものさえ漏えいするというものだった。このセキュリティホールは、何年もの間見逃されていた。

 最近では、中間者攻撃によって暗号化された通信を傍受できる可能性がある、「FREAK」と呼ばれる新たなセキュリティホールが発見されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]