既に、開発元のOpenSSLプロジェクトから2014年6月5日(米国時間)、セキュリティ情報で6件の脆弱性を修正し、対応するパッチを公開しています。中でもMITM攻撃につながる脆弱性(CVE-2014-0224)は、「ChangeCipherSpec (CCS) Injection Vulnerability」と呼ばれ、株式会社レピダムの技術者 菊池正史氏が発見し、ブログ「CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - CCS Injection」で公開しています。このOpenSSLのChangeCipherSpec(CCS)メッセージの処理にある脆弱性を悪用された場合、第三者が通信に介在し、第三者が知り得る弱い鍵をOpenSSLに使用させることが可能だとのことです。なお、この脆弱性はOpenSSLの最初のリリースから存在していたとのことで、16年もの間発見されてこないまま現在に至っています。
この脆弱性の影響は、クライアントではOpenSSLの全バージョン、サーバではOpenSSL 1.0.1/1.0.2-beta1のみに影響があることが確認されています。ただ、サーバについては1.0.1以前のバージョンを使用している場合も念のためバージョンアップをすることを推奨しています。
株式会社レピダムの技術Blogよると、今回の「OpenSSL」の新たな脆弱性の内容と対策は以下の通りです。
OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。サーバとクライアントの両方に影響があり、迅速な対応が求められます。攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。
取り得る対策
各ベンダからの更新データがリリースされたら、早急にインストールすることで対応出来るとのことです。以下にあげるベンダーリストは現在時点(2014年6月6日12:30)のものです。随時更新されるとのことなので、更新情報は株式会社レピダムの「技術Blog」で確認してください。
今回の脆弱性による危険性
OpenSSLのChangeCipherSpecメッセージの処理に発見された欠陥により、第三者が通信に介在することが可能であることを確認しました。
そのためOpenSSLに第三者が知ることのできる弱い鍵を使用させることができます。
今回発見された脆弱性により、これにより修正前のバージョンのOpenSSLを使用して通信の保護を実施していたウェブの閲覧、電子メールの送受信、VPNといったソフトウェアには通信内容や認証情報などを詐取・改ざんされる危険性があります。
影響を受けるバージョン
- 1.0.1から1.0.1g
- 1.0.0から1.0.0l
- 0.9.8y以前の全て
OpenSSLの脆弱性による影響の範囲はきわめて広範囲におよぶため、米US-CERTはFreeBSDやRed Hat、Ubuntuへの影響を確認(6月5日時点)しており、また米SANS Internet Storm Centerも早急なパッチの適用を勧告しています。
▶︎ OpenSSL #ccsinjection Vulnerability
▶︎ CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - CCS Injection
via:ITmedia エンタープライズ、@IT
0 件のコメント :
コメントを投稿