ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2014-06-05

OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。

| 23:28 |  OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。を含むブックマーク

lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。

lepidum社 公開情報

影響を受けるOpenSSLのバージョン

どのバージョンが影響を受けますか?

以下のバージョンにバグが存在する。

1.0.1から1.0.1g

1.0.0から1.0.0l

0.9.8y以前の全て

http://ccsinjection.lepidum.co.jp/ja.html

脆弱性識別番号

Coqについて

攻撃が行われる恐れがあるパターン

lepidum社の公開情報では次のように説明がされています。

どのような攻撃が行われる恐れがありますか?

クライアントサーバがともにバグが存在するバージョンで、サーバがバージョン1.0.1以降の場合に、通信の盗聴・改ざんを行う攻撃が行われる恐れがあります。 サーバだけがバグの存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあります。

http://ccsinjection.lepidum.co.jp/ja.html

これをマトリックスに起こしてみました。間違っていたらご指摘頂けると嬉しいです。

f:id:Kango:20140605233319p:image

タイムライン

日付出来事
2014年6月5日lepidum社がOpenSSL脆弱性 CCS Injectionに関する情報を公開。