6月8日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
OpenSSL 0.9.8za、1.0.0m、1.0.1hリリース(2014/06/05)
OpenSSL 0.9.8za、1.0.0m、1.0.1hでは、情報漏洩、改ざん、サービス拒否攻撃並びに、任意のコードを許してしまう脆弱性5件を解決しています。
情報漏洩並びに改ざんは、脆弱性(CVE-2014-0224)への中間者攻撃によるものです。サービス拒否攻撃は、DTLSハンドシェイク処理の脆弱性(CVE-2014-0221)、SSL Mode Release Buffers処理のNULLポインター参照(CVE-2014-0198)、SSL Mode Release Buffers処理の競合(CVE-2010-5298)、匿名ECDH(楕円曲線Diffie-Hellman)処理の脆弱性(CVE-2014-3470)によるものです。任意のコードを許してしまう脆弱性は、DTLS分割メッセージの処理でのバッファオーバーフロー(CVE-2014-0195)に起因します。
また、OpenSSL 0.9.8za、1.0.0mでは、4月上旬にOpenSSL 1.0.1gで解決されたキャッシュサイドチャネル攻撃により、ECDSA(Elliptic Curve Digital Signature Algorithm)のnonceの漏洩を許してしまう脆弱性(CVE-2014-0076)に対応しています。
- OpenSSL:OpenSSL 1.0.1 Branch Release notes
- OpenSSL:OpenSSL 1.0.0 Branch Release notes
- OpenSSL:OpenSSL 0.9.8 Branch Release notes
- OpenSSL:OpenSSL Security Advisory [05 Jun 2014]