2016.06.01(水)

「OpenSSL」に暗号化通信を復号される脆弱性(JVN)

脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月29日、OpenSSL Projectが提供する「OpenSSL」のDHプロトコルに暗号化に使用する鍵を特定される脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3によるBase Scoreは7.4。

「OpenSSL 1.0.2f より前のバージョン」「OpenSSL 1.0.1r より前のバージョン」には、「安全素数」でない素数を生成する暗号化処理の不備(CVE-2016-0701)、およびアルゴリズムのダウングレード(CVE-2016-3197)の脆弱性が存在する。これらの脆弱性が悪用されると、リモートの第三者に復号のための鍵を入手され、機微な情報を取得される可能性がある。また、無効化しているはずの SSLv2 の暗号化方式で通信が行われ、既知の脆弱性の影響を受ける可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史》

編集部おすすめの記事

特集

脅威 アクセスランキング

  1. 三菱東京UFJ銀行を騙るフィッシングメールを確認(フィッシング対策協議会)

    三菱東京UFJ銀行を騙るフィッシングメールを確認(フィッシング対策協議会)

  2. 「サイボウズ ガルーン」に複数の脆弱性、アップデートなど対策呼びかけ(JVN)

    「サイボウズ ガルーン」に複数の脆弱性、アップデートなど対策呼びかけ(JVN)

  3. SSL通信の増加でセキュリティ対策製品の処理能力への影響が深刻に(F5)

    SSL通信の増加でセキュリティ対策製品の処理能力への影響が深刻に(F5)

  4. NEC製の複数のモバイルルータにCSRFの脆弱性(JVN)

  5. 周術期情報管理システムに患者情報の取得や改ざんの脆弱性(JVN)

  6. バッファロー製の複数の無線LANルータに脆弱性(JVN)

  7. iOSアプリ「ジェットスター」にSSLサーバ証明書検証不備の脆弱性(JVN)

  8. Microsoft Windows の Win32k.sys ドライバの実装に起因する整数オーバーフローの脆弱性(Scan Tech Report)

  9. スマートフォンアプリ「百五銀行」にSSLサーバ証明書の検証不備の脆弱性(JVN)

  10. Apache Struts 2 において Dynamic Method Invocation 機能の実装不備により遠隔から任意のコードが実行されてしまう脆弱性

アクセスランキングをもっと見る

PREMIUM 会員限定記事の閲覧方法のご案内
PREMIUM 会員限定記事の閲覧方法のご案内

PREMIUM 会員登録するとすべての会員限定記事が閲覧いただけます。

×