米Vigilinxが米国時間7月30日，OpenSSLコードの一部のバージョンにセキュリティ・ホールを発見したと発表した。

　OpenSSLとはSSL（Secure Sockets Layer）とTransport Layer Security（TLS）を実装した無償のライブラリで，インターネット上での暗号化したやりとりを可能にする。

　問題のセキュリティ・ホールは米国防総省高等研究計画局（DARPA：Defense Advanced Research Projects Agency）と米空軍研究所（Air Force Research Laboratory）が発見したもの。その他2名のセキュリティ研究者がこのセキュリティ・ホールを確認している。Vigilinx社の研究所Patch Validation Laboratoryが研究者と協力して分析を行った。

　セキュリティ・ホールの内容は，4種類のバッファ・オーバーフロー。ひとつはサービス拒否の原因となるが，残りの3種類は，遠隔地にいる攻撃者がルート・レベルのアクセス権でコードを実行できるようにしてしまう。この問題が発生するのは，OpenSSLの0.9.6d以前，0.9.7ベータ2以前，0.9.7の開発スナップショットを利用しているシステム。クライアント側とサーバー側の両方に影響をおよぼすという。

　「暗号化通信を保護するためにSSLを利用したサーバーが広く普及していることを考えると，このセキュリティ・ホールは大きな問題だ。現時点で，このセキュリティ・ホールによって被害を受けたという報告はない。しかし，大きな損害を引き起こす可能性が高い」（Vigilinx社CEOのBruce Murphy氏）

◎関連記事
■“暮しの手帖”的なセキュリティ情報を
■注目集める無線LANのセキュリティ，問題解決への取り組みを見る
■米ISSが2002年第2四半期におけるインターネットの危険性に関する報告を発表
■米IBMが無線LAN向けセキュリティ監視ツールを発表，「脆弱なアクセス・ポイントの位置を自動検出」
■米マカフィーがセキュリティ・ホールを検出するツール「McAfee ThreatScan」を発表
■米Microsoft，開発者やテスターにセキュリティ意識の向上を要請
■米MicrosoftのGates会長，「新機能よりセキュリティを重視」と全社員にメールで宣言
■米シマンテックがWWWベースのセキュリティ情報収集ツール「Enterprise Solution Finder」を発表

[発表資料へ]