米国時間の2014年4月7日、OpenSSLのバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性が発見された。
オープンソースのSSL/TLS暗号化ライブラリ、「OpenSSL」のバージョン1.0.1/1.0.2系に、秘密鍵などの漏えいにつながる恐れのある深刻な脆弱性(CVE-2014-0160)が発見された。JPCERTコーディネーションセンター(JPCERT/CC)はじめ複数のセキュリティ機関が、手元のOpenSSLのバージョンを確認し、必要に応じてバージョンアップなど適切な対処を取るよう呼び掛けている。
この脆弱性は、OpenSSL 1.0.1から1.0.1fならびに1.0.2-betaから1.0.2-beta1に存在する。TLS/DTLS Heartbeat拡張の実装に問題があり、通信相手からメモリ上の情報、例えば暗号化通信に用いるSSLサーバー証明書の秘密鍵、ひいてはユーザー名やパスワード、あるいはメールや重要な文書など、暗号化しているはずのコンテンツが読み出されてしまう恐れがある。
例えばRed Hat Enterprise Linux 6、Ubuntu 12.04.4 LTSなど、主要なLinuxディストリビューションやBSD系OSも脆弱なバージョンのOpenSSLを含んでいる可能性があるため、注意が必要だ。
しかも、セキュリティ企業のCodenomiconが公開した詳細情報によると、この脆弱性を悪用した攻撃を受けても、ログなどに痕跡は残らない。
開発元のOpenSSL Projectは米国時間の2014年4月7日、問題を修正したOpenSSL 1.0.1gをリリースし、早期にアップグレードするよう推奨している。1.0.2系列については、今後リリース予定の1.0.2-beta2で対処予定だ。もし迅速なアップグレードが困難な場合は、「-DOPENSSL_NO_HEARTBEATS」オプションを有効にし、OpenSSLをリコンパイルすることが望ましいという。
また前述の通り、この脆弱性を悪用されるとSSLサーバー証明書の秘密鍵が盗み見られている恐れがある。このため、いったんSSLサーバー証明書を無効化し、再発行してもらうことが望ましい。例えばクロストラストは、この脆弱性の指摘を受け、SSLサーバー証明書の無償再発行などの対応を表明している。
なお、OpenSSL 0.9.8系/1.0.0系については、この脆弱性は存在しないという。
Copyright © ITmedia, Inc. All Rights Reserved.