CVE-2015-1793 OpenSSLの新たな脆弱性。管理者は速やかにバージョンチェックを

OpenSSLにあらたな脆弱性がみつかりました。今回のインパクトは大きいのでしょうか。また、対策はどうすればよいのでしょうか。

Ads by Google

CVE-2015-1793 OpenSSLの新たな脆弱性。管理者は速やかにバージョンチェックを

openssl

CVE-2015-1793というOpenSSLの脆弱性が見つかりました。

脆弱性の内容としては、OpenSSLで証明書検証をする際、最初のネゴシエーションで証明書チェーンを確立できなかった場合に、代わりとなる証明書のチェーンを探そうとする動きをとるんですね。これはOpenSSLの動きの話です。

この代わりになる証明書チェーンを探す動作の実装のところに問題があって、攻撃者がチェーン証明書を偽造できてしまう可能性があるというものです。

証明書を偽造できてしまうと、攻撃者は通信を傍受したり、MITM(中間者攻撃)でまんまと情報を抜き取ることができてしまう、ということになります。

そのため、サーバ管理者は速やかにこの脆弱性に対応しなければなりません。対応とはOpenSSLのバージョンアップです。

気になる影響度と、影響を受けるOpenSSLのバージョン

気になる影響ですが、幸い昨年からバタバタと見つかった脆弱性よりも軽度なもののようです。
とはいえ、リスクはHighなので、対象のバージョンを使っている人は速やかにアップデートが必要です。

脆弱性のあるバージョン

  • 1.0.2c
  • 1.0.2b
  • 1.0.1n
  • 1.0.1o

1.0.0系および0.9.8系は影響なし。OpenSSLはまだ、圧倒的に1.0.0系、0.9.8系を使っていることが多いと思うので、ここで結構な人が安心したのでは?

また、1.0.2bと1.0.2cおよび1.0.1oは、2015年6月12日。1.0.1nは2015年6月11日リリース版なので、ほとんど使っている人いないのでは?という感じですね。

何を使っているかわからないよ、というちょっと困った系の場合は以下の方法で簡単にOpenSSLのバージョンが確認できますのでコマンドたたいてみてください。

# openssl version

対処方法

残念ながら対象だった場合は、あきらめて以下の対応をしましょう。

  • 1.0.2系は1.0.2dへアップデート
  • 1.0.1系は1.0.1pへアップデート

HeartBleedのようなサーバ上の秘密鍵が抜き取られる可能性があるタイプの脆弱性ではありませんので、SSLサーバ証明書の再発行は不要です。

しかし、ここのところOpenSSLの脆弱性がすごいですね。

最後にopessl.orgの内容を転載しておきます。
https://www.openssl.org/news/secadv_20150709.txt

Ads by Google

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

Ads by Google

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA