Hitach Incident Response Team

 8月10日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

OpenSSL 0.9.8zb、1.0.0n、1.0.1iリリース(2014/08/06)

 OpenSSL 0.9.8zb、1.0.0n、1.0.1iでは、情報漏洩、TLSプロトコルのダウングレード攻撃、サービス拒否攻撃を許してしまう脆弱性9件を解決しています(表 1)。

 情報漏洩は、表示整形機能を利用している場合に、スタックから情報が漏洩する可能性があります(CVE-2014-3508)。TLSプロトコルのダウングレード攻撃は、脆弱性(CVE-2014-3511)への中間者攻撃によるものです。

 サービス拒否攻撃のうち、SSL/TLSに影響する脆弱性は、SRP(Secure Remote Password)パラメーター処理におけるバッファオーバーフロー問題(CVE-2014-3512)、OpenSSLクライアントにおけるサーバーハローメッセージ内のSRPパラメーター処理のNULLポインター参照(NULL pointer dereference)(CVE-2014-5139)、サーバーハローメッセージ処理の競合(CVE-2014-3509)に起因します。DTLSに影響する脆弱性は、メモリーの2重解放(double free)(CVE-2014-3505)、メモリー資源の枯渇(CVE-2014-3506)、メモリーリーク(CVE-2014-3507)、NULLポインター参照(CVE-2014-3510)
によるものです。






表1●OpenSSLに影響を与える脆弱性