不正SSL証明書の失効プログラム、WS 2003向けに提供開始
米Microsoftは、インドの公的機関から不適切にSSL証明書が発行された問題で、「Windows Server 2003」向けの更新プログラムを提供開始した。
問題の証明書は、インドの国立情報工学センターより発行されたもの。同センターは、インド政府の認証管理局が運営するルート証明機関の下位証明機関にあたり、証明書が信頼されたルート証明機関ストアに含まれているという。
問題の証明書を悪用して証明書を発行されると、なりすまし、フィッシング、中間者(マンインザミドル)攻撃などへ悪用されるおそれがある。
こうした状況に対応するため、米Microsoftでは、7月11日に問題の証明書を失効させるプログラムを公開したが、「Windows Server 2003」については後日提供するとしていた。更新プログラム管理ソフトウェアやMicrosoft Updateサービス、手動により適用できる。
(Security NEXT - 2014/07/22 )
ツイート
PR
関連記事
Fortinet、「FortiOS」に関する複数の脆弱性を解消
一部「SonicOS」のSSL VPNに脆弱性 - DoS攻撃のおそれ
SonicWall「SMA 100」に脆弱性 - Googleが報告した攻撃との関連不明
「Apache httpd」にSSRFやセッションハイジャックなど複数脆弱性
「OpenSSL 3.5.1」がリリース - コピペミス起因脆弱性を解消
先週注目された記事(2025年6月22日〜2025年6月28日)
「Cisco Meraki 」にDoS脆弱性 - SSL VPN処理で強制再起動
「FortiOS」に複数脆弱性 - 権限の昇格やセッション管理不備など修正
「OpenSSL 3.5」に設定と挙動異なる脆弱性 - コピペミスで発生
SonicWall「SMA100」シリーズに脆弱性 - 初期化やファイル書き込みのおそれ