OpenSSLの脆弱性”CVE-2014-3511″とはどのようなものか?

ads by google

OpenSSLの脆弱性”CVE-2014-3511″とはどのようなものか?

openssl

2014年8月6日に見つかったOpenSSLの脆弱性。
9つ見つかったのですが、今回はその中のCVE-2014-3511をご紹介。

OpenSSLのSSL / TLSのサーバコードに欠陥があって、ネゴシエーションをする際に
ClientHelloメッセージが断片化されて、TLS1.0よりも高いバージョンのプロトコル
(TLS1.1とか1.2)が使えるにも関わらず、TLS1.0でセッションを確立してしまう。

そして、これはサーバとクライアントの双方がTLS1.0よりも高いバージョンの
プロトコルが利用できるにも関わらず、中間攻撃者(Man-in-the-middle attack)
がTLS1.0へダウングレードすることが出来てしまう問題があるもの。

TLSv1.0は、CBCモードの利用に脆弱性があるので、利用するには注意が必要。
SSL/TLSではHandshakeというSSLセッションを確立するための、やり取りが
行われます。

ClientHelloはHandshakeの際の一番最初のメッセージになりますが、ここを
中間攻撃者が操作をして、ダウングレードさせてしまうことが出来るという
ものです。

手法はどうやらとても簡単らしくClientHelloを5バイト以下に分割して
送るだけでいいようです。

実際に検証している方がいました。

http://d.hatena.ne.jp/jovi0608/20140808/1407483168

OpenSSL1.0.1を使っているサーバ管理者は、OpenSSL1.0.1iへアップグレード
しましょ。

ads by google

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

ads by google

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA