4月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
OpenSSL 1.0.1gリリース(2014/04/07)
OpenSSL 1.0.1gでは、情報漏洩を許してしまう脆弱性(CVE-2014-0160、CVE-2014-0076)を解決しています。脆弱性CVE-2014-0076は、キャッシュサイドチャネル攻撃により、ECDSA(Elliptic Curve Digital Signature Algorithm)のnonceの漏洩を許してしまうというものです(図1)。また、脆弱性CVE-2014-0160は、RFC6520に規定されているTLS/DTLS用Heartbeat拡張のOpenSSL実装に存在する脆弱性です。この脆弱性は、Heartbleed問題とも呼ばれています。脆弱なSSLサーバーが、TCPコネクションの確立、Client HelloとServer Helloを用いたハンドシェイク処理後に、不正なHeartbeat要求を受信した場合、Heartbeat応答とともに、メモリーに格納されていたデータの一部を送信してしまう可能性があります。
図1●TLS通信とHeartbeatによる情報漏洩
- OpenSSL:OpenSSL 1.0.1 Branch Release notes
- OpenSSL:TLS heartbeat read overrun(CVE-2014-0160)
- 日本シーサート協議会:OpenSSL 情報漏洩を許してしまう脆弱性 ~Heartbleed 問題~ について
