オープンソースのSSL/TLS実装ライブラリ「OpenSSL」の更新版が
3月19日、予告通りに公開され、危険度「高」に分類したサービス妨害(DoS)の脆弱性を含め
計14件の脆弱性が修正された。
米セキュリティ機関SANSInternetStormCenterの専門家は「Heartbleedほどは悪くない」と解説している。
OpenSSLのセキュリティ情報によると、危険度の高いDoSの脆弱性はOpenSSL1.0.2のみに存在する。
悪用されればサーバに対してDoS攻撃を仕掛けられる恐れがある。
この問題はバージョン1.0.2aで修正された。
また、強度の弱い輸出グレードのRSA鍵を使用させられてしまう脆弱性(通称「FREAK」)については
1月8日のセキュリティ情報で危険度「低」としていた分類を、危険度「高」に昇格させた。
「輸出グレードのRSA暗号が、当初予想より
はるかに一般的にサポートされていたことが最近の研究で示されたため」と説明している。
残る12件の脆弱性は、危険度「中程度」が9件、「低」が3件となっている。
影響を受けるのは0.9.8~1.0.2の各バージョン。
それぞれ1.0.2a、1.0.1m、1.0.0r、0.9.8zfで問題が修正された。
DoS攻撃に利用される恐れのある脆弱性のほか
潜在的な危険性が高いメモリ破損の脆弱性なども修正されており
「パッチ適用をあまり遅らせない方がいい」とSANSは助言している。
RedHatやUbuntuなどの主要Linuxディストリビューションも
OpenSSLの脆弱性修正を受け、対応する更新版を公開した。
以下ソース
http://www.itmedia.co.jp/enterprise/articles/1503/20/news045.html