編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

「OpenSSL」のセキュリティパッチが近く公開へ

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 編集部

2016-01-26 10:18

 インターネット上でEコマースビジネスを展開している場合、SSL/TLS接続に「OpenSSL」を使用している可能性が高い。Linuxの「Debian」ディストリビューションが稼働するサーバを例に挙げると、その98.7%でOpenSSLが使用されている

 このため、Red Hatの製品セキュリティ担当シニアディレクターであり、OpenSSLの創設メンバーでもあるMark Cox氏が、OpenSSLの最新ニュースページで発表した内容は注目に値すると言えるだろう。そのニュースには、「OpenSSLプロジェクトチームは近々、OpenSSLのバージョン1.0.2fと1.0.1rをリリースする。(中略)これらはバージョン1.0.2に存在する深刻度が『高』(High)の問題と、すべてのリリースに存在する深刻度が『低』(Low)の問題という、セキュリティ上の2つの懸念に対処するものだ」と記されている。

 OpenSSLのセキュリティポリシーページには、深刻度が「高」に分類される脆弱性の説明として、「重大(Critical)よりもリスクが低いと位置付けられる、つまりあまり一般的でない設定で問題が顕在化する脆弱性や、攻撃される可能性の低い脆弱性がこれに該当する。こういった脆弱性の詳細は開示されることなく、サポート中のすべてのバージョンに対する新たなリリースが公開される」と記されている。つまり、重大な脆弱性ではないようだが、筆者はパッチがリリースされればすぐに自らのサーバに適用するつもりだ。

 今回のパッチによって、どのような問題が修正されるのかは分からない。Cox氏はこの発表以上に追加することはないとしている。ただ、OpenSSLがネットワークやウェブのセキュリティを支える屋台骨になっている現状を考えた場合、このパッチを適用するかどうかを判断するための詳細など必要ないと言えるだろう。

 同パッチは協定世界時(UTC)の1月28日午後1時から午後5時(日本時間の同日午後10時から翌日午前2時)の間にリリースされる予定だ。CanonicalやRed Hat、SUSEの情報筋が筆者に語ったところによると、これらLinuxディストリビューションのパッチも同じ日にリリースされるという。

 それまでの間に確認しておくべきことがある。もしOpenSSLのバージョン1.0.0や0.9.8をいまだに使用しているのであれば、バージョンアップに向けた作業を開始してほしい。これらのバージョンは2015年12月31日をもってサポートが終了しており、セキュリティアップデートはリリースされなくなっている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    コスト削減&拡張性も、堅牢なセキュリティ&規制も同時に手に入れる方法、教えます

  2. 経営

    サブスクビジネスのカギはCX! ITIL準拠のツールをこう使え

  3. クラウドコンピューティング

    “偽クラウド”のERP使っていませんか?多くの企業のITリーダーの生の声から学ぶ

  4. クラウドコンピューティング

    RPA本格展開のカギは?「RPA導入実態調査レポート」が示す活用の道筋

  5. セキュリティ

    RPA導入時に見落とされがちな“エンタープライズレベルのセキュリティ”を紐解く

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]