• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

OpenSSLに情報漏えいの危険がある脆弱性、JPCERT/CCが注意喚起

田村 奈央=日経NETWORK 2014/04/08 日経NETWORK

 JPCERTコーディネーションセンター(JPCERT/CC)は2014年4月8日、TLSやSSLを利用するためのライブラリ「OpenSSL」に見つかった情報漏えいの脆弱性について注意を呼びかけた。この脆弱性は、「OpenSSL」の開発を進める「OpenSSL Project」が4月7日(米国時間)に公表したもの。脆弱性を抱えたOpenSSLを利用するコンピュータに対して、悪意ある攻撃者がリモートから細工したパケットを送り付けると、メモリー上の情報が閲覧されてしまう危険がある。

 影響を受けるバージョンは、OpenSSL 1.0.1~同1.0.1f、OpenSSL 1.0.2-beta~同1.0.2-beta1である。対策は、OpenSSL Projectが公開している脆弱性を修正したバージョンのOpenSSLを適用することだ。修正済みバージョンとしては、OpenSSL 1.0.1系列向けにOpenSSL 1.0.1gが公開されている。OpenSSL 1.0.2-beta系列については、現時点では修正済みのバージョンは存在しない。OpenSSL 1.0.2-beta2のリリース時に修正される見通しだ。

 OpenSSLを含むOSやアプリケーションを利用しているユーザーは、当該ソフトウエアの提供元が公開するセキュリティ情報を確認し、必要なら修正プログラムを適用する必要がある。例えばJPCERT/CCは脆弱性に関する注意喚起の中で、Debian、Red Hat Enterprise Linux、Ubuntuなどのセキュリティ情報を紹介している。

 運用上の理由などで修正プログラムの適用が難しい場合は、「-DOPENSSL_NO_HEARTBEATS」というオプションを有効にしたうえで、OpenSSLを再コンパイルするという回避策が推奨されている。

 フィンランドのセキュリティ企業であるCodenomiconは、同社のWebサイトでこの脆弱性に関するQ&Aを公開している。それによると、この脆弱性はRFC6520で規定されたTLSのHeartbeat拡張を、OpenSSLに実装した際のバグに起因するもの。つまり、SSL/TLSのプロトコル規格そのものに関する脆弱性ではないという。

ここから先はITpro会員(無料)の登録が必要です。

次ページ Codenomiconはテスト環境で、リモートか...
  • 1
  • 2

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る