『OpenSSL』に複数の脆弱性、対応版はすでに公開済み

OpenSSL Project は9月30日、『Secure Sockets Layer (SSL)』および『Transport Layer Security (TLS)』プロトコルの実装として広く普及している『OpenSSL』に見つかった複数の脆弱性を修正し、新版を公開した。

OpenSSL Project のセキュリティ勧告によると、これらの脆弱性は、サービス不能化 (DoS) 攻撃やシステム権限奪取を許す可能性があるという。

これらの脆弱性は、OpenSSL の0.9.6j および0.9.7b 以前の全ての版と、『SSLeay』の全版に存在する。OpenSSL Project は、OpenSSL の『ASN.1』ライブラリを利用し、信頼できないデータを扱う必要があるアプリケーション全般も、今回見つかった脆弱性の影響を受ける、と警告している。

ASN.1 (Abstract Syntax Notation One) は、異なるシステム間でデータをやり取りする方法を定義するのに用いる言語。OpenSSL Project によると、ASN.1 パーサーが形式不正として弾く、特定の ASN.1 符号を処理する際、割り当てたメモリを解放する方法に問題があるという。

今回の複数の脆弱性は、National Infrastructure Security Coordination Centre (NISCC) が、SSL/TLS ソフトウェアに様々な不正形式のクライアント証明書を与えたときの挙動を調べようと、テストスイートを用意してチェック作業を行なった際に見つかった。

OpenSSL をデバッグモードで運用している場合、証明書内の不正形式の公開鍵が原因で、検証処理がクラッシュするおそれがあることも、NISCC のテストでわかった。これは、DoS 攻撃にもつながり得る。

また設定していなくとも、OpenSSL にクライアント証明書を処理させることができる不具合も見つかっており、クライアント証明書がらみの脆弱性を悪用されるおそれがあると警告している。

現在 OpenSSL Project は、脆弱性を修正した 0.9.7c および 0.9.6k という版を公開しており、ライブラリをスタティックにリンクしているアプリケーションについては、再コンパイルを忘れないよう勧告している。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール