「OpenSSL」のセキュリティアップデートが公開--TLSの脆弱性「Logjam」に対処

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部

2015-06-12 12:46

 ウェブ関連のセキュリティライブラリで最も重要だと言ってもよい「OpenSSL」のセキュリティアップデートが、米国時間6月11日に公開された。OpenSSLはSSL(Secure Socket Layer)とTLS(Transport Layer Security)を実装している。

 今回のアップデートに含まれている7件の修正のうち、最も重要なものが「Logjam」と呼ばれる脆弱性への対処だ。Logjamは「ディフィーヘルマン鍵共有(DH法)」に存在する問題に端を発している。DH法は、セキュアな接続を確立する際の暗号鍵の共有に用いられる一般的なアルゴリズムであり、SSLやTLSで採用されている。理論的に言えば、攻撃者はLogjamを悪用した中間者攻撃(MitM攻撃)を仕掛け、TLS接続で使用される暗号を輸出グレードの512ビットという攻撃可能なレベルにダウングレードすることが可能になる。ただ、実際にLogjamによる攻撃が行われ、成功したケースはほとんどないと考えられている。

 この脆弱性への対処として、ハンドシェイク時に768ビットよりも小さいDHパラメータの指定を拒否することで、TLSクライアントを保護する機能がOpenSSLに追加された。この制限は将来的に1024ビットにまで増やされる予定だ。しかし当面の間、「OpenSSL 1.0.2」のユーザーは「OpenSSL 1.0.2b」へ、「OpenSSL 1.0.1」のユーザーは「OpenSSL 1.0.1n」にアップグレードする必要がある。

 その他の修正は、Logjamほど深刻ではないが、DoS攻撃を可能にする脆弱性への対処などだ。

 なおOpenSSLは、「OpenSSL 1.0.0」および「OpenSSL 0.9.8」のサポートを2015年12月31日をもって打ち切ると改めて述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  2. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. 開発

    「スピード感のある価値提供」と「高品質な製品」を両立させるテスト会社の使い方

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]