米Vigilinxが米国時間7月30日,OpenSSLコードの一部のバージョンにセキュリティ・ホールを発見したと発表した。

 OpenSSLとはSSL(Secure Sockets Layer)とTransport Layer Security(TLS)を実装した無償のライブラリで,インターネット上での暗号化したやりとりを可能にする。

 問題のセキュリティ・ホールは米国防総省高等研究計画局(DARPA:Defense Advanced Research Projects Agency)と米空軍研究所(Air Force Research Laboratory)が発見したもの。その他2名のセキュリティ研究者がこのセキュリティ・ホールを確認している。Vigilinx社の研究所Patch Validation Laboratoryが研究者と協力して分析を行った。

 セキュリティ・ホールの内容は,4種類のバッファ・オーバーフロー。ひとつはサービス拒否の原因となるが,残りの3種類は,遠隔地にいる攻撃者がルート・レベルのアクセス権でコードを実行できるようにしてしまう。この問題が発生するのは,OpenSSLの0.9.6d以前,0.9.7ベータ2以前,0.9.7の開発スナップショットを利用しているシステム。クライアント側とサーバー側の両方に影響をおよぼすという。

 「暗号化通信を保護するためにSSLを利用したサーバーが広く普及していることを考えると,このセキュリティ・ホールは大きな問題だ。現時点で,このセキュリティ・ホールによって被害を受けたという報告はない。しかし,大きな損害を引き起こす可能性が高い」(Vigilinx社CEOのBruce Murphy氏)

◎関連記事
“暮しの手帖”的なセキュリティ情報を
注目集める無線LANのセキュリティ,問題解決への取り組みを見る
米ISSが2002年第2四半期におけるインターネットの危険性に関する報告を発表
米IBMが無線LAN向けセキュリティ監視ツールを発表,「脆弱なアクセス・ポイントの位置を自動検出」
米マカフィーがセキュリティ・ホールを検出するツール「McAfee ThreatScan」を発表
米Microsoft,開発者やテスターにセキュリティ意識の向上を要請
米MicrosoftのGates会長,「新機能よりセキュリティを重視」と全社員にメールで宣言
米シマンテックがWWWベースのセキュリティ情報収集ツール「Enterprise Solution Finder」を発表

[発表資料へ]