米CERT/CCは米国時間10月1日,セキュリティ・プロトコルSSL/TLS(Secure Sockets Layer/Transport Layer Security)の実装の多くに,複数のセキュリティ・ホールがあることを明らかにした。細工が施されたデータを送信されると,SSLを使用しているサーバー(例えばWebサーバー)のサービスを停止させられたり,サーバー上で任意のプログラムを実行させられる恐れがある。
影響を受けるのは,SSL/TLSを使用しているシステム。セキュリティ・ホールがあることが確認されているのは,SSL/TLSのツール・キット(ライブラリ)である「OpenSSL」のバージョン0.9.7c あるいは 0.9.6kよりも古いバージョン。また,OpenSSLの前身といえる「SSLeay」(SSLeayは現在ではメンテナンスされていない)にも存在する。
OpenSSLは多くのOSに同梱されているので,自分でインストールした覚えがなくても,OpenSSLを使用している場合がある。また,OpenSSLやSSLeay以外のライブラリ(ソフトウエア)にも,同様のセキュリティ・ホールが存在する可能性がある。SSLを使用しているシステムの管理者は,ベンダーのWebサイトなどでチェックして,自システムが影響をうけるかどうか確認する必要がある。なお,商用で広く使われているSSL/TLSのライブラリ「RSA BSAFE」シリーズには,今回のセキュリティ・ホールはないという。
対策は,セキュリティ・ホールを解消したバージョンにアップグレードすることやパッチを適用すること。OpenSSLの場合には,OpenSSL 0.9.7cやOpenSSL 0.9.6kにアップグレードする。OpenSSLのライブラリを静的にリンクしているアプリケーションについては,再コンパイルする必要がある。
SSL/TLSを実装しているクライアントも影響を受けるものの,セキュリティ・ホールを悪用するには,攻撃者は攻撃対象を自分のサイトに誘導する必要がある。それに対して,SSL/TLSを使用している公開用Webサーバーは容易に攻撃を受ける。SSL/TLSを使用しているサーバーの管理者は,今回のセキュリティ・ホールの影響を受けるかどうか確認して,影響を受けるような早急に対策を施したい。
OpenSSLやSSLeay以外の影響を受ける製品(ベンダー)の情報は,CERT/CCのページや「JPCERT/CC Vendor Status Notes」などに記載されている。これらの情報は随時更新されるので,最新の情報を参照するようにしたい。
◎参考資料
◆「Multiple Vulnerabilities in SSL/TLS Implementations」(CERT/CC)
◆「SSL/TLS の実装に複数の脆弱性」(JPCERT/CC Vendor Status Notes)
◆「Vulnerability Issues in OpenSSL」(NISCC)
◆「Vulnerability Issues in Implementations of the TLS and SSL Protocols」(NISCC)
◆「Vulnerabilities in ASN.1 parsing」(The OpenSSL Project)
(勝村 幸博=IT Pro)
