米Vigilinxが米国時間7月30日,OpenSSLコードの一部のバージョンにセキュリティ・ホールを発見したと発表した。
OpenSSLとはSSL(Secure Sockets Layer)とTransport Layer Security(TLS)を実装した無償のライブラリで,インターネット上での暗号化したやりとりを可能にする。
問題のセキュリティ・ホールは米国防総省高等研究計画局(DARPA:Defense Advanced Research Projects Agency)と米空軍研究所(Air Force Research Laboratory)が発見したもの。その他2名のセキュリティ研究者がこのセキュリティ・ホールを確認している。Vigilinx社の研究所Patch Validation Laboratoryが研究者と協力して分析を行った。
セキュリティ・ホールの内容は,4種類のバッファ・オーバーフロー。ひとつはサービス拒否の原因となるが,残りの3種類は,遠隔地にいる攻撃者がルート・レベルのアクセス権でコードを実行できるようにしてしまう。この問題が発生するのは,OpenSSLの0.9.6d以前,0.9.7ベータ2以前,0.9.7の開発スナップショットを利用しているシステム。クライアント側とサーバー側の両方に影響をおよぼすという。
「暗号化通信を保護するためにSSLを利用したサーバーが広く普及していることを考えると,このセキュリティ・ホールは大きな問題だ。現時点で,このセキュリティ・ホールによって被害を受けたという報告はない。しかし,大きな損害を引き起こす可能性が高い」(Vigilinx社CEOのBruce Murphy氏)
◎関連記事
■“暮しの手帖”的なセキュリティ情報を
■注目集める無線LANのセキュリティ,問題解決への取り組みを見る
■米ISSが2002年第2四半期におけるインターネットの危険性に関する報告を発表
■米IBMが無線LAN向けセキュリティ監視ツールを発表,「脆弱なアクセス・ポイントの位置を自動検出」
■米マカフィーがセキュリティ・ホールを検出するツール「McAfee ThreatScan」を発表
■米Microsoft,開発者やテスターにセキュリティ意識の向上を要請
■米MicrosoftのGates会長,「新機能よりセキュリティを重視」と全社員にメールで宣言
■米シマンテックがWWWベースのセキュリティ情報収集ツール「Enterprise Solution Finder」を発表
[発表資料へ]