9月22日リリースの「OpenSSL」に脆弱性--最新版OpenSSL 1.1.0bと1.0.2jが公開に

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 村上雅章 野崎裕子

2016-09-28 10:00

 オープンソースの暗号ライブラリである「OpenSSL」のパッチが公開された場合、そのパッチは早急に適用する必要がある。しかし、米国時間9月22日に公開されたパッチにはOpenSSLをクラッシュさせ、サーバへの侵入を許してしまいかねない、初歩的なバグが混入していた。


OpenSSLは、確実に機能すればインターネットのセキュリティを強化するうえで欠かせない役割を果たしてくれる。しかし想定通りに機能しなければ、金庫の扉を開け放ち、データの流出を招くことになる。
提供:CNET

 OpenSSLは、SSL/TLSプロトコルを実装するために、TwitterやGitHub、Yahoo、Tumblr、Steam、Dropboxなどの多くの有名ウェブサイトで使用されている。

 またOpenSSLは、ウェブサイト以外でも使用されている。このライブラリは、オープンソースの仮想プライベートネットワーク(VPN)実装「OpenVPN」や、セキュアなログイン機能とターミナル機能を提供する「OpenSSH」でも使用されている(ただ、OpenSSHの最近のバージョンでは「LibreSSL」かOpenSSLのいずれかを選択できる)。

 要するに、セキュアなサーバを稼働させているのであれば、OpenSSLを使っている確率は高い。

 9月22日のパッチにバグが混入した原因は、プログラミング上の単純なミスだった。「OpenSSL 1.1.0a」に作り込まれた問題は、深刻度が最高レベルの「Critical」に分類されている。その詳細として「約16kバイトを超えるメッセージを受け取った場合、受け取ったメッセージを格納する大元のバッファが再割り当てされ、別な場所に移動される。しかし残念なことに、古い格納位置を参照したままの、いわゆるダングリングポインタが残っている結果、解放領域に対する書き込みが発生する。これにより、たいていの場合はクラッシュが引き起こされるものの、任意のコードの実行につながる可能性もある」という説明がOpenSSLのページに記されている。

 OpenSSL 1.1.0を使用しているユーザーは、今すぐ「OpenSSL 1.1.0b」にアップデートするべきだ。

 22日に公開された「OpenSSL 1.0.2i」にも、さほど重大でないとはいえ問題が作り込まれていた。OpenSSL 1.1.0系列では証明書失効リスト(CRL)のサニティチェックを含むバグ修正が追加されていたものの、OpenSSL 1.0.2iではそれが省略されている。その結果、OpenSSL 1.0.2iでCRLを使用しようとした場合、nullポインタ例外でクラッシュが引き起こされるようになっていた。

 このため、OpenSSL 1.0.2iを使っているユーザーは、今すぐ「OpenSSL 1.0.2j」にアップデートするべきだ。

 ことOpenSSLに関する限り、パッチはすぐに適用するべきだ。サーバ内でセキュリティを必要とするほとんどすべてのものがOpenSSLに依存している以上、ドアを開けっ放しにしておくわけにはいかない。

 とはいえ、OpenSSLのプログラマーであれば品質を第1に考えるようにしてもらいたいものだ。人間誰でも過ちはしでかすが、22日のパッチで作り込まれたダングリングポインタやnullポインタといった単純なミスを見せられると、OpenSSLの代替製品を検討する必要があるのではないかと考えさせられる。

 OpenSSLの代替としては、Amazon Web Services(AWS)の「s2n」や、LibreSSL、「wolfSSL」が検討に値するだろう。OpenSSLに関する最近の脆弱性報道を見る限り、セキュアなインターネットというのは、OpenSSLだけに任せておくにはあまりにも大きなテーマだと言える。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  3. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    最も警戒すべきセキュリティ脅威「ランサムウェア」対策として知っておくべきこと

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]