2014-06-05
OpenSSLの脆弱性CCS Injection(CVE-2014-0224)の攻撃が行われる恐れがあるパターンをマトリックス化してみた。
脆弱性まとめ | |
lepidum社の菊池氏がOpenSSLの実装に脆弱性があることを発見しました。この脆弱性はChangeCipherSpecメッセージの処理に欠陥があるもので、悪用された場合に暗号通信の情報が漏えいする可能性があると同社公開情報では説明されています。
lepidum社 公開情報
当社で発見し報告をしたOpenSSLの脆弱性(CVE-2014-0224 )が公開されました。早急な更新が望まれる内容だと考えています。 #ccsinjection #OpenSSL 概要はこちらのページをご参照下さい。http://t.co/bhY7GpLZ2j
— lepidum (@lepidum) 2014, 6月 5- CCS Injection脆弱性(CVE-2014-0224)の概要・対策・発見経緯について
- CCS Injection Vulnerability
- CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介
影響を受けるOpenSSLのバージョン
どのバージョンが影響を受けますか?
以下のバージョンにバグが存在する。
1.0.1から1.0.1g
1.0.0から1.0.0l
0.9.8y以前の全て
http://ccsinjection.lepidum.co.jp/ja.html
脆弱性識別番号
Coqについて
攻撃が行われる恐れがあるパターン
lepidum社の公開情報では次のように説明がされています。
どのような攻撃が行われる恐れがありますか?
クライアントとサーバがともにバグが存在するバージョンで、サーバがバージョン1.0.1以降の場合に、通信の盗聴・改ざんを行う攻撃が行われる恐れがあります。 サーバだけがバグの存在するバージョンの場合は、クライアントの偽装を行う攻撃が行われる恐れがあります。
http://ccsinjection.lepidum.co.jp/ja.html
これをマトリックスに起こしてみました。間違っていたらご指摘頂けると嬉しいです。
タイムライン
| 日付 | 出来事 |
|---|---|
| 2014年6月5日 | lepidum社がOpenSSLの脆弱性 CCS Injectionに関する情報を公開。 |