「OpenSSL」は、2014年6月5日(米国時間)、オープンソースの暗号通信ライブラリである「OpenSSL」に存在する脆弱性に関する 6つのセキュリティ情報を公開しました。6月5日現在、これらの脆弱性を利用した攻撃は報告されていません。
更新プログラムにより、以下の脆弱性は解決されています。
- SSL/TLS MITM vulnerability (CVE-2014-0224)
- DTLS recursion flaw (CVE-2014-0221)
- DTLS invalid fragment vulnerability (CVE-2014-0195)
- SSL_MODE_RELEASE_BUFFERS NULL pointer dereference (CVE-2014-0198)
- SSL_MODE_RELEASE_BUFFERS session injection or denial of service (CVE-2010-5298)
- Anonymous ECDH denial of service (CVE-2014-3470)
SSL/TLS に存在する脆弱性を利用した「Man-In-The-Middle(MitM、中間者)攻撃」が行なわれると、攻撃者は、脆弱性を抱えるすべてのクライアントとサーバのトラフィックを遠隔から変更できるようになります。ただし、この脆弱性を利用した攻撃を成功させるためには、クライアントとサーバが双方とも脆弱性を抱えている必要があり、脆弱性「Heartbleed」に比べると、それほど深刻ではありません。その他の注意すべき脆弱性は、DTLS の無効なフラグメントの脆弱性です。この脆弱性が利用されると、任意のコードを実行できるようになり、システムのセキュリティを侵害します。さらに、「CVE-2014-0221」が利用されると、攻撃者は「サービス拒否(DoS)攻撃」が可能になります。
脆弱性を抱える OpenSSL のサーバのバージョンは、1.0.1 および 1.0.2-beta1 となっています。1.0.1 より前のバージョンのサーバは、以下のバージョンに更新することを推奨します。
- OpenSSL 0.9.8 SSL/TLS のユーザは、0.9.8za に更新して下さい
- OpenSSL 1.0.0 SSL/TLS のユーザは、1.0.0m に更新して下さい
- OpenSSL 1.0.1 SSL/TLS のユーザは、1.0.1h に更新して下さい
今回発見された OpenSSL の脆弱性は、数多くの Webサイトやモバイルアプリに影響を与えた Heartbleed脆弱性とは異なるものの、やはりユーザのセキュリティを危険にさらします。そのため、Web管理者は、OpenSSL から公開されている最新の更新プログラムをシステムに適用し、これらの脆弱性を利用した潜在的な脅威からの危険性を軽減することが、強く推奨されています。
■トレンドマイクロの対策
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」をご利用のユーザは、以下のフィルタを適用して下さい。
- 1006088 : OpenSSL SSL/TLS Man In The Middle Security Bypass Vulnerability (CVE-2014-0224)
- 1006090 : Detected Fragmented DTLS Request
- 1006091 : Detected Fragmented DTLS Message (CVE-2014-0195)および(CVE-2014-0221)
また、任意のコードを実行し、DoS攻撃を行う脆弱性「CVE-2014-3466」については、「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品)」の、以下のフィルタを適用することでユーザは保護されます。
- 1006084 : GnuTLS “read_server_hello()”Memory Corruption Vulnerability
参考記事:
by Bernadette Irinco (Technical Communications)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)