米US-CERTやOpenSSL Projectなどは米国時間3月17日,「OpenSSL」に見つかった複数のセキュリティ・ホールを警告した。OpenSSLとは,SSLやTLSを使うためのツール・キット(ライブラリ)。細工を施したデータを送信されると,OpenSSLを使用しているサービス(アプリケーション)を停止させられる恐れがある。影響を受けるのは,OpenSSL 0.9.6c から 0.9.6l,および0.9.7a から 0.9.7c。これらを実装しているすべてのアプリケーションおよびネットワーク機器が影響を受ける。対策はOpenSSL 0.9.6m あるいは 0.9.7d にバージョンアップすることや,各ベンダーが提供するパッチを適用すること。
今回明らかにされたセキュリティ・ホールは以下の3種類。
(1)OpenSSL does not properly handle unknown TLS message types
(2)OpenSSL contains a flaw in the code that processes SSL/TLS handshakes when configured to use the Kerberos cipher suites
(3)OpenSSL contains null-pointer assignment in do_change_cipher_spec() function
いずれも,サービス妨害(DoS)攻撃を受けるセキュリティ・ホールである。対策はOpenSSL 0.9.6m あるいは 0.9.7d にバージョンアップすること。OpenSSL Projectのサイトやミラー・サイトから入手できる。
OpenSSLを使用している覚えがなくても,現在使用しているアプリケーションやネットワーク機器に含まれている可能性があるので注意が必要である。OpenSSLを含んでいるかどうかは,ベンダーのWebサイトなどで確認してほしい。例えば,米Cisco SystemsのIOSやPIX Firewallなどには,セキュリティ・ホールがあるOpenSSLが使われている。影響を受ける場合には,各ベンダーが公開するリリースなどを参考にして,それぞれが提供するパッチを適用する必要がある。
◎参考資料
◆OpenSSL Security Advisory(OpenSSL Project)
◆Vulnerability Issues in OpenSSL(英NISCC)
◆OpenSSL SSL/TLS Handshake Denial of Service Vulnerabilities(デンマークSecunia)
◆OpenSSLに複数の脆弱性(情報処理推進機構)
◆OpenSSLの脆弱性について(警察庁)
◆Cisco OpenSSL Implementation Vulnerability(米Cisco Systems)
◆Cisco Multiple Products OpenSSL Denial of Service Vulnerability(デンマークSecunia)
(勝村 幸博=IT Pro)