暗号化プログラム「OpenSSL」に、非常に危険な脆弱性……heartbeat拡張 | RBB TODAY

暗号化プログラム「OpenSSL」に、非常に危険な脆弱性……heartbeat拡張

エンタープライズ セキュリティ

「Heartbleed Bug」サイト
  • 「Heartbleed Bug」サイト
  • OpenSSLのSecurity Advisoryページ
 JPCERTコーディネーションセンター(JPCERT/CC)および情報処理推進機構(IPA)は4月8日、OpenSSL Projectが提供するライブラリ「OpenSSL」のheartbeat拡張に、情報漏えいの脆弱性が存在することを発表した。

 この脆弱性(CVE-2014-0160)は、通称「Heartbleed」と呼ばれているもので、OpenSSLがウェブの情報暗号化に広く使われている技術のため、海外セキュリティ企業などが強い警告を発している。情報を集約したサイト「heartbleed.com」も公開中だ。

 この脆弱性を悪用すると、第三者が細工したパケットを送付することで、システムのメモリ内の情報を閲覧し、秘密鍵などの重要な情報を取得する可能性がある。

 該当するバージョンは、OpenSSL 1.0.1から1.0.1f、OpenSSL 1.0.2-betaから1.0.2-beta1。すでにOpenSSL Projectからは、本脆弱性を修正したバージョン「OpenSSL 1.0.1g」が公開されている。なおOpenSSL 1.0.2-betaについては、2014年4月8日現在、修正済みのバージョンは公開されていない(1.0.2-beta2 で対応予定)。

 管理するシステムにおいて該当するバージョンのOpenSSLを使用している場合は、OpenSSL Projectが提供する修正済みバージョンへアップデートすることが強く推奨されている。一時的には、「-DOPENSSL_NO_HEARTBEATS」オプションを有効にしてOpenSSLを再コンパイルすることでも回避可能。
《冨岡晶》

関連ニュース

特集

page top