OpenSSLに脆弱性、秘密鍵流出の恐れ
悪質なサーバを使って悪用された場合、クライアントユーザーの秘密鍵を含むクライアントメモリが流出する恐れがある。
オープンソースのSSL/TLS暗号化ライブラリ「OpenSSL」に情報流出の脆弱性が見つかり、1月14日にリリースされた更新版で修正された。秘密鍵が流出する恐れもあることから、米セキュリティ機関のCERT/CCなどはできるだけ早急に対応するよう呼び掛けている。
CERT/CCやOpenSSLが公開したセキュリティ情報によると、OpenSSHクライアントコードのバージョン5.4〜7.1p1では、SSH接続の再開(ローミング)が実験的にサポートされた。サーバコードにはこの機能は実装されていないものの、クライアントコードではデフォルトで有効になっており、悪質なサーバを使って悪用された場合、クライアントユーザーの秘密鍵を含むクライアントメモリがそのサーバにリークされる恐れがある。
米SANS Internet Storm Centerではこの脆弱性について、2014年に発覚した「Heartbleed」と呼ばれるOpenSSLの重大な脆弱性と類似点はあるものの、今回の脆弱性が悪用できるのはエンドユーザーが悪質なサーバに接続した場合のみであることから、Heartbleedの方がはるかに深刻だったと解説している。
脆弱性は「OpenSSH 7.1p2」で修正された。アップデートできないユーザーのために、回避策も紹介されている。
関連記事
OpenSSL、深刻な脆弱性を修正した更新版公開
攻撃者が代替チェーン証明書を偽造できてしまう恐れがあり、通信の傍受やデータの改ざんなどの攻撃に利用される可能性がある。OpenSSLの更新版公開、「Logjam」対策を実装
「Logjam」と呼ばれるTLSプロトコルの脆弱性の悪用を防ぐ対策を実装したほか、6件の脆弱性が修正された。Apache Struts2にXSSの脆弱性、更新版が公開
脆弱性は2件あり、悪用された場合に任意のスクリプトを実行される恐れがある。脆弱性を治す平均日数は? 情報流出を招く実態判明
脆弱性の修正対応に要した期間は、金融機関や教育機関では長期であることが分かった。
関連リンク
Copyright© 2016 ITmedia, Inc. All Rights Reserved.
おすすめ動画ピックアップ
- PR -仲睦まじい夫婦の素敵な笑顔に思わずほっこり:
家族の絆、振り返ってみませんか 〜今と昔を表現した明治安田生命の新CM〜
明治安田生命の新企業イメージCM「ささえあう幸せ」篇がWeb上で配信中。同社の“家族の幸せを一生涯支え続けたい”という想いを込めて制作したという。CMソングには、小田和正氏の楽曲「今日もどこかで」を採用。仲睦まじい夫婦の若かりし頃と現在の写真を通じて、ふたりが寄り添い、支えあって歩んできた姿や時間を想像させる内容となっている。
ピックアップコンテンツ
- PR -注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。