編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら

9月22日リリースの「OpenSSL」に脆弱性--最新版OpenSSL 1.1.0bと1.0.2jが公開に

Steven J. Vaughan-Nichols (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子

2016-09-28 10:00

 オープンソースの暗号ライブラリである「OpenSSL」のパッチが公開された場合、そのパッチは早急に適用する必要がある。しかし、米国時間9月22日に公開されたパッチにはOpenSSLをクラッシュさせ、サーバへの侵入を許してしまいかねない、初歩的なバグが混入していた。


OpenSSLは、確実に機能すればインターネットのセキュリティを強化するうえで欠かせない役割を果たしてくれる。しかし想定通りに機能しなければ、金庫の扉を開け放ち、データの流出を招くことになる。
提供:CNET

 OpenSSLは、SSL/TLSプロトコルを実装するために、TwitterやGitHub、Yahoo、Tumblr、Steam、Dropboxなどの多くの有名ウェブサイトで使用されている。

 またOpenSSLは、ウェブサイト以外でも使用されている。このライブラリは、オープンソースの仮想プライベートネットワーク(VPN)実装「OpenVPN」や、セキュアなログイン機能とターミナル機能を提供する「OpenSSH」でも使用されている(ただ、OpenSSHの最近のバージョンでは「LibreSSL」かOpenSSLのいずれかを選択できる)。

 要するに、セキュアなサーバを稼働させているのであれば、OpenSSLを使っている確率は高い。

 9月22日のパッチにバグが混入した原因は、プログラミング上の単純なミスだった。「OpenSSL 1.1.0a」に作り込まれた問題は、深刻度が最高レベルの「Critical」に分類されている。その詳細として「約16kバイトを超えるメッセージを受け取った場合、受け取ったメッセージを格納する大元のバッファが再割り当てされ、別な場所に移動される。しかし残念なことに、古い格納位置を参照したままの、いわゆるダングリングポインタが残っている結果、解放領域に対する書き込みが発生する。これにより、たいていの場合はクラッシュが引き起こされるものの、任意のコードの実行につながる可能性もある」という説明がOpenSSLのページに記されている。

 OpenSSL 1.1.0を使用しているユーザーは、今すぐ「OpenSSL 1.1.0b」にアップデートするべきだ。

 22日に公開された「OpenSSL 1.0.2i」にも、さほど重大でないとはいえ問題が作り込まれていた。OpenSSL 1.1.0系列では証明書失効リスト(CRL)のサニティチェックを含むバグ修正が追加されていたものの、OpenSSL 1.0.2iではそれが省略されている。その結果、OpenSSL 1.0.2iでCRLを使用しようとした場合、nullポインタ例外でクラッシュが引き起こされるようになっていた。

 このため、OpenSSL 1.0.2iを使っているユーザーは、今すぐ「OpenSSL 1.0.2j」にアップデートするべきだ。

 ことOpenSSLに関する限り、パッチはすぐに適用するべきだ。サーバ内でセキュリティを必要とするほとんどすべてのものがOpenSSLに依存している以上、ドアを開けっ放しにしておくわけにはいかない。

 とはいえ、OpenSSLのプログラマーであれば品質を第1に考えるようにしてもらいたいものだ。人間誰でも過ちはしでかすが、22日のパッチで作り込まれたダングリングポインタやnullポインタといった単純なミスを見せられると、OpenSSLの代替製品を検討する必要があるのではないかと考えさせられる。

 OpenSSLの代替としては、Amazon Web Services(AWS)の「s2n」や、LibreSSL、「wolfSSL」が検討に値するだろう。OpenSSLに関する最近の脆弱性報道を見る限り、セキュアなインターネットというのは、OpenSSLだけに任せておくにはあまりにも大きなテーマだと言える。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  2. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  3. クラウドコンピューティング

    家庭向けIoT製品の普及とともに拡大するセキュリティとプライバシー問題─解決策を知ろう

  4. クラウドコンピューティング

    クラウドの障害対策を徹底解説!4つの方法とメリット、デメリット

  5. セキュリティ

    サイバー犯罪の標的となるMicrosoft製品、2019年に悪用された脆弱性リストからの考察

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]