OpenSSLのCCSメッセージ処理に脆弱性、MITM攻撃受けるおそれ - 国内の技術者が発見

OpenSSLにおけるChange Cipher Specメッセージの処理に深刻な脆弱性が含まれていることがわかった。脆弱性を修正するアップデートの提供が開始されている。
OpenSSLにおいて、Change Cipher Specプロトコルの実装に問題が判明したもの。OpenSSLでは、鍵情報を交換する前に「Change Cipher Specメッセージ」を受け取ると、空の鍵情報によって脆弱な暗号鍵を生成してしまう脆弱性「CVE-2014-0224」が存在。脆弱な鍵を使用させることで、マンインザミドル(MITM)攻撃が可能となり、暗号化通信の内容が漏洩したり、改ざんされるおそれがある。
サーバ、クライアント双方に影響があるのも特徴で、サーバとして利用している場合「同1.0.1g」、クライアントの場合「同1.0.1g」「同1.0.0l」「同0.9.8y」が対象となり、以前のバージョンも含まれる。

レピダムによる脆弱性の報告ページ。英語版も公開されている
今回の脆弱性は、レピダムの菊池正史氏が情報処理推進機構(IPA)へ報告。修正にあたり、JPCERTコーディネーションセンターが調整を行った。すでに修正版の提供が開始されている。
脆弱性を発見したレピダムは、今回の脆弱性に関して、プロトコルではなく、OpenSSLにおける実装上の問題であるとし、利用する暗号アルゴリズムに関係なく影響を受けると説明。攻撃を受けた痕跡も残らないという。
また今回の脆弱性で秘密鍵を盗み出すことはできないが、OpenSSLのSSL/TLSで保護された経路で秘密鍵をやり取りした場合は注意が必要であると同社は指摘。攻撃も再現可能で、標的型攻撃などへ悪用されるおそれが高いとして注意を呼びかけている。
(Security NEXT - 2014/06/06 )
ツイート
関連リンク
PR
関連記事