サイバートラスト ジャーナル

Open SSL 2 つの脆弱性に対応したセキュリティパッチをリリース

2016.02.22
  • このエントリーをはてなブックマークに追加

今回の深刻度「高」および深刻度「低」の脆弱性は、SSL 証明書に影響するものではありませんが、でき得る限り早急に、ご利用の OpenSSL 環境 にパッチを適用してください。

1 月 28 日の朝(米国時間)、OpenSSL コミュニティは 2 つのセキュリティパッチをリリースしました。

バージョン1.0.2f / バージョン1.0.1r

これらのセキュリティパッチは、新しく発見された2つの脆弱性(うち1つは深刻度「高」、1つは深刻度「低」)に対応するものです。

深刻度「高」の脆弱性は Open SSL のリリース 1.0.2 に影響するものです。深刻度「低」の脆弱性は Open SSL のリリース 1.0.2 および 1.0.1 に影響するものです。

これらのバグはどちらも SSL 証明書に影響を与えるものではありませんので、証明書に関連する対応は必要ありません。

深刻度「高」の脆弱性

深刻度「高」の脆弱性は(RFC5114 のサポートに必要とされる X9.42 形式のパラメータファイルの生成がサポートされた)リリース 1.0.2 に影響するものです。
(注)リリース 1.0.1 は X9.42 形式のパラメータをサポートしないので、この脆弱性の影響は受けません。

深刻度「低」の脆弱性

深刻度「低」の脆弱性は 1.0.2 および 1.0.1 に影響するものです。この脆弱性は、SSL_OP_NO_SSLv2 オプションを使って SSLv2 暗号を無効化している場合を除き、サーバ上および SSLv2 ハンドシェイクで SSLv2 暗号を使用禁止にしているにも関わらず、攻撃者に、SSLv2 暗号による通信を許可してしまいます。

システム管理者は次のバージョンの OpenSSL にアップデートしてください。

  • OpenSSL 1.0.2 ユーザーは 1.0.2f にアップグレード
  • OpenSSL 1.0.1 ユーザーは 1.0.1r にアップグレード

上記 OpenSSL のパッチのソースコードは OpenSSL Cryptography and SSL/TLS Toolkit から入手することができます。

1024-Bit ハンドシェイク

Logjam の問題もあって、OpenSSL はリリース 1.02b 並びに 1.0.1n において、768-bit 以下でのハンドシェイクのサポートを取り止めています。今回のリリースでは OpenSSL の制限を 1024bit まで引き上げました。これは、1024bit 未満でのハンドシェイクが拒否されることを意味します。

脆弱性の全てのリストは OpenSSL Security Advisory [28th Jan 2016]. をご参照ください。

セキュリティレベルの違いについての説明はSecurity Policy page の「Internal handling of security issues」 の節をご参照ください。

リリース 1.0.0 および 0.9.8 のサポートは終了しました。

2015 年 12 月 31 日、OpenSSL コミュニティはリリース 1.0.0 および 0.9.8 のサポートを終了しました。今後、OpenSSL のこれらのバージョンには、パッチは提供されません。 これらのバージョンをまだ使用している場合は 1.0.2f (推奨)もしくは 1.0.1r にアップグレードする必要があります。

OpenSSL 1.0.2 へのアップグレードの検討開始

OpenSSL コミュニティは 2016 年 12 月 31 日でバージョン 1.0.1 のサポートを終了する予定です。
現在このバージョンを使用している場合は、OpenSSL (1.0.2) の最新リリース版へのアップグレードの準備を検討し始めてください。

OpenSSL の安全性を保つ為

OpenSSL コミュ二ティ(献身的な研究者やセキュリティの専門家が他のオンライン上の協力者やオープンソース開発者)は、OpenSSL のセキュリティを維持するために常に尽力しています。彼らは攻撃者が OpenSSL の脆弱性を見つけ、悪用する方法を考え出す前に、それらの脆弱性を発見し、改良することを使命としています。

皆さんも通常業務の合間を見て、OpenSSL の最新パッチを導入し、コードの安全性を保ち、甚大な被害が発生しないようにしてください。

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事: OpenSSL Patches Two Security Vulnerabilities - [2016 年 1 月 28 日投稿]
  • 前の記事へ
  • HOME
  • 次の記事へ