『OpenSSL』に DoS 攻撃の危険を招く新たな脆弱性

OpenSSL Project は17日、SSL プロトコルの実装として広く普及している『OpenSSL』に複数の脆弱性が見つかったとして警告を出し、対応版を公開した。

同団体のセキュリティ勧告によると、悪意あるユーザーがこれらの脆弱性を利用すれば、サービス不能化 (DoS) 攻撃を引き起こすことが可能という。OpenSSL Project は、SSL および TLS プロトコルを実装したオープンソースのツールキットを提供している。

脆弱性は2件あり、まず第1の脆弱性は、SSL/TLS ハンドシェイクの際に呼び出す「do_change_cipher_spec()」関数で、無効なポインタ割当てが起きるというもので、OpenSSL Project の内部テストで見つかった。勧告によると、同脆弱性は OpenSSL をクラッシュさせる可能性があるという。

セキュリティ勧告では、「OpenSSL ライブラリを使用するサーバーに、巧妙に仕組んだ SSL/TLS ハンドシェイクを外部から仕掛け、OpenSSL をクラッシュさせることができる。運用形態によっては、これがサービス不能状態を引き起こす可能性がある」としている。

同脆弱性が存在するのは、OpenSSL の 0.9.6c から 0.9.6l までと、0.9.7a から 0.9.7c までを含む全バージョンだ。

もう1件については、『Kerberos』による暗号化を用いる構成の場合、SSL/TLS ハンドシェイクを処理するプログラムコードで、問題が生じると警告している。こちらの脆弱性もまた、SSL/TLS ハンドシェイクに細工を施すことで、OpenSSL をクラッシュさせられるという。こちらは 0.9.7a から 0.9.7c に脆弱性が存在する。

以上の脆弱性に対応する版は、0.9.6m および 0.9.7d で、いずれも OpenSSL Project のウェブサイトからダウンロードできる。

OpenSSL の警告が出てすぐ、ネットワーク機器大手の Cisco Systems (NASDAQ:CSCO) は、上記の脆弱性が自社のソフトウェア製品の多くに影響を及ぼすことを確認し、顧客に対して OpenSSL Project とは別に警告を出すとともに、無料で修正版の提供を開始した。

Linux ベンダーの Red Hat (NASDAQ:RHAT) も、OpenSSL パッケージを更新し、問題のある版について独自に警告を出した。今回の脆弱性を含むのは、『RedHat Enterprise Linux AS 2.1』『同 ES 2.1』『同 WS 2.1』および Itanium プロセッサ版の『RedHat Linux Advanced Workstation 2.1』となっている。