Hitach Incident Response Team

 6月8日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

OpenSSL 0.9.8za、1.0.0m、1.0.1hリリース(2014/06/05)

 OpenSSL 0.9.8za、1.0.0m、1.0.1hでは、情報漏洩、改ざん、サービス拒否攻撃並びに、任意のコードを許してしまう脆弱性5件を解決しています。

 情報漏洩並びに改ざんは、脆弱性(CVE-2014-0224)への中間者攻撃によるものです。サービス拒否攻撃は、DTLSハンドシェイク処理の脆弱性(CVE-2014-0221)、SSL Mode Release Buffers処理のNULLポインター参照(CVE-2014-0198)、SSL Mode Release Buffers処理の競合(CVE-2010-5298)、匿名ECDH(楕円曲線Diffie-Hellman)処理の脆弱性(CVE-2014-3470)によるものです。任意のコードを許してしまう脆弱性は、DTLS分割メッセージの処理でのバッファオーバーフロー(CVE-2014-0195)に起因します。

 また、OpenSSL 0.9.8za、1.0.0mでは、4月上旬にOpenSSL 1.0.1gで解決されたキャッシュサイドチャネル攻撃により、ECDSA(Elliptic Curve Digital Signature Algorithm)のnonceの漏洩を許してしまう脆弱性(CVE-2014-0076)に対応しています。