「OpenSSL」に新たな脆弱性、中間者攻撃により漏えいや改ざんの可能性(IPA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.27(金)

「OpenSSL」に新たな脆弱性、中間者攻撃により漏えいや改ざんの可能性(IPA)

脆弱性と脅威 セキュリティホール・脆弱性

独立行政法人 情報処理推進機構(IPA)は6月6日、「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について注意喚起を発表した。これは、オープンソースの暗号通信ライブラリである「OpenSSL」において、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)が発見されたというもの。CVE-2014-0160(Heartbleed)とは異なる脆弱性となる。

本来、SSL/TLS による暗号通信では、利用者とWebサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃(中間者攻撃)を防ぐことができる。しかし、この脆弱性を悪用されると、中間者攻撃を防ぐことができず、暗号通信の内容が漏えいしたり、改ざんされる可能性がある。

本脆弱性の影響を受けるのは、以下の組み合わせの場合となる。
サーバ側:
・OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前

クライアント側:
・OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
・OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
・OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前

なお本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、株式会社レピダムの菊池正史氏からIPAが届出を受け、JPCERT/CCが製品開発者と調整を行い公表したものとなる。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×