編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

「OpenSSL」のセキュリティアップデートが公開--TLSの脆弱性「Logjam」に対処

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 編集部

2015-06-12 12:46

 ウェブ関連のセキュリティライブラリで最も重要だと言ってもよい「OpenSSL」のセキュリティアップデートが、米国時間6月11日に公開された。OpenSSLはSSL(Secure Socket Layer)とTLS(Transport Layer Security)を実装している。

 今回のアップデートに含まれている7件の修正のうち、最も重要なものが「Logjam」と呼ばれる脆弱性への対処だ。Logjamは「ディフィーヘルマン鍵共有(DH法)」に存在する問題に端を発している。DH法は、セキュアな接続を確立する際の暗号鍵の共有に用いられる一般的なアルゴリズムであり、SSLやTLSで採用されている。理論的に言えば、攻撃者はLogjamを悪用した中間者攻撃(MitM攻撃)を仕掛け、TLS接続で使用される暗号を輸出グレードの512ビットという攻撃可能なレベルにダウングレードすることが可能になる。ただ、実際にLogjamによる攻撃が行われ、成功したケースはほとんどないと考えられている。

 この脆弱性への対処として、ハンドシェイク時に768ビットよりも小さいDHパラメータの指定を拒否することで、TLSクライアントを保護する機能がOpenSSLに追加された。この制限は将来的に1024ビットにまで増やされる予定だ。しかし当面の間、「OpenSSL 1.0.2」のユーザーは「OpenSSL 1.0.2b」へ、「OpenSSL 1.0.1」のユーザーは「OpenSSL 1.0.1n」にアップグレードする必要がある。

 その他の修正は、Logjamほど深刻ではないが、DoS攻撃を可能にする脆弱性への対処などだ。

 なおOpenSSLは、「OpenSSL 1.0.0」および「OpenSSL 0.9.8」のサポートを2015年12月31日をもって打ち切ると改めて述べている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]