Shoeisha Technology Media

CodeZine(コードジン)

記事種別から探す

JPCERT/CC、「OpenSSLの複数の脆弱性に関する注意喚起」を発行、秘密鍵を盗まれるなどの恐れ

  • LINEで送る
  • このエントリーをはてなブックマークに追加
2016/03/02 14:33

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は3月2日、「OpenSSLの複数の脆弱性に関する注意喚起」を発行。OpenSSL Projectが提供するOpenSSLに複数の脆弱性があるとして、ユーザーに対応を呼びかけている。

 今回発表された脆弱性 (CVE-2016-0800) は、該当するバージョンのOpenSSLを用いて、SSLv2を利用可能としている場合に、遠隔の第三者によって、秘密鍵などの重要な情報を取得される可能性があるというもの。JPCERT/CCでは、該当バージョンのOpenSSLを使用している環境では、OpenSSL Projectが公開している脆弱性を修正したバージョンのOpenSSLを、十分なテストを実施の上、適用することを勧告している。

 今回発表の脆弱性を含むバージョンと、その修正バージョンは次表のとおり。

脆弱性を含むバージョン 修正バージョン
OpenSSL 1.0.1rおよびそれ以前の1.0.1系列 OpenSSL 1.0.1s
OpenSSL 1.0.2fおよびそれ以前の1.0.2系列 OpenSSL 1.0.2g

 今回の脆弱性の回避策として、修正済みバージョンの適用が困難な場合には、SSLv2を無効にすることを検討してほしいと、JPCERT/CCでは述べている。

 なお、OpenSSL 0.9.8系列および1.0.0系列は、2015年12月31日でサポートを終了しており、今後修正済みのバージョンは提供されない。

【関連リンク】
JPCERT/CC「OpenSSLの複数の脆弱性に関する注意喚起」
OpenSSL Projectからの脆弱性ならびに回避策の発表
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)

  • LINEで送る
  • このエントリーをはてなブックマークに追加

おすすめ記事

All contents copyright © 2006-2016 Shoeisha Co., Ltd. All rights reserved. ver.1.5