2014年6月6日金曜日

OpenSSLに再び脆弱性が発覚

こんにちは。
株式会社Pro-SPIREの藤野です。

OpenSSLに新たな脆弱性が見つかりました。
今回もまた情報漏えいの危険性が含まれています。

すでに修正パッチは配信されているので、早急なアップデートが必要です。

OpenSSLにまた重大な脆弱性、直ちにパッチ適用を
http://www.itmedia.co.jp/news/articles/1406/06/news034.html
※上記のリンクは外部サイトが別ウィンドウで開きます。

問題を発見したのは日本のセキュリティ機関レピダムで、
OpenSSLの ChangeCipherSpec(CCS) Injection 脆弱性を指摘しています。

レピダムのサイトで細かい解説がなされています。

CCS Injection 脆弱性の概要と対策レポート
http://ccsinjection.lepidum.co.jp/ja.html
※上記のリンクは外部サイトが別ウィンドウで開きます。

CCS Injection 脆弱性の発見経緯
http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection/index.html
※上記のリンクは外部サイトが別ウィンドウで開きます。


ChangeCipherSpecとはTLSプロトコルの一部で、サーバーとクライアント間の通信に使用される暗号方式を相手に通知するメッセージです。
今回は、特定バージョンのOpenSSLを持つサーバー側に不適切なChangeCipherSpecを受信させることで、最悪の場合には暗号化通信プロトコルが最も避けるべき中間者攻撃(man-in-the-middle attack)を可能としてしまうと考えられています。
なお、原因はOpenSSLのTLS/SSL実装の問題であり、TLS/SSLプロトコルそのものの脆弱性ではありません。

SSL Protocol - FC2
http://sehermitage.web.fc2.com/crypto/ssl_protocol.html
※上記のリンクは外部サイトが別ウィンドウで開きます。

HeartBleedの件があって間もないので、
インターネットの安全を支えてきたOpenSSLの問題はまだまだ尽きないのではないかというおぼろげな懸念があっても無理もない状況です。

OpenSSLはオープンソースなので、特定の機関だけでなく関係する人全員に検証・修正の可能性があるのが良いところですね。
今回のように影響範囲が広い問題は、悪用防止の観点から即座に展開するべきとも限らないのが扱いの難しいところですが、開発コミュニティと研究機関の協力によりスムーズかつ安全に対策が進められると良いと思います。


余談ですが、以前本ブログで取り上げました
OpenSSLの改善プロジェクト
「OpenOpenSSL」のサイトはアクセスできなくなっていました。
どうも単なるジョークサイトだったようです。。。
正しい情報を得る努力も必要ですね。

OpenOpenSSLサイト立ち上がる
http://developers.pro-spire.co.jp/2014/04/openopenssl.html

0 件のコメント:

コメントを投稿