> > OpenSSL、バージョン 1.1.0 に関する深刻度「高」の脆弱性に対応したセキュリティパッチをリリース

RSSフィード

OpenSSL、バージョン 1.1.0 に関する深刻度「高」の脆弱性に対応したセキュリティパッチをリリース

今回の脆弱性は SSL/TLS 証明書に影響する脆弱性ではありません。また、OpenSSL バージョン 1.1.0 より古いバージョンにも影響はありません。

WarningTriangle_Red3.jpgOpenSSL のプロジェクトチームは 2 月 16 日早朝(米国時間)、OpenSSL バージョン 1.1.0 系に関する深刻度「高」の脆弱性対策として下記のパッチをリリースしました。

バージョン 1.1.0e

バージョン 1.0.2 には影響しませんが、バージョン 1.1.0 系を使っているのであれば、システム管理者はただちに OpenSSL のパッチを適用してください。

今回のバグは SSL/TLS 証明書に影響を与えるものではありませんので、証明書に関連する対応は必要ありません。

Encrypt-Then-Mac 再ネゴシエーションのクラッシュ(CVE-2017-3733)

基本的に、クライアントとサーバーがハンドシェイクの再ネゴシエーションを行う際、次のいずれかに該当する場合は OpenSSL 1.1.0 系がクラッシュし(使用している暗号化スイートによります)、サーバーとクライアントの両方に影響します。

  • 当初のネゴシエーションでは使われなかったにもかかわらず Encrypt-Then-Mac エクステンションが使用された場合
  • 当初のネゴシエーションで Encrypt-Then-Mac エクステンションが使われたものの、再ネゴシエーションでは使われなかった場合

詳細については、OpenSSL Security Advisory [16 Feb 2017].を閲覧してください。

影響の範囲

今回の脆弱性は OpenSSL バージョン 1.1.0 系にのみ影響します。OpenSSL バージョン 1.0.2 を使用している場合には影響しません。

必要な対応

管理者は次のバージョンの OpenSSL にアップデートしてください。

OpenSSL 1.1.0 系ユーザーは 1.1.0e にアップグレード

OpenSSL パッチのソースコードは OpenSSL Cryptography and SSL/TLS Toolkit にて取得できます。

注:今回のバグは OpenSSL バージョン 1.0.2 には影響しません。OpenSSL バージョン 1.0.1、1.0.0 および 0.9.8 のサポートはすでに終了しています。これらのバージョンには、パッチは提供されません。

OpenSSL の安全性を保つために

OpenSSL は、OpenSSL 環境の強固なセキュリティを維持するために常に尽力しています。OpenSSL チームは、攻撃者が脆弱性を見つけて悪用する前に、それらの脆弱性を発見しパッチを提供できるよう、常時警戒しています。とはいえ、OpenSSL の実行環境と幅広いコミュニティの全体で強固な環境を保つには、皆さんが時間をとって、ご自身のシステムにパッチを適用することが不可欠です。

 

この記事は、米国 DigiCert の許諾の下 DigiCert Blog の投稿記事を翻訳したものです。
オリジナル記事はこちら: OpenSSL Patches a "HIGH" Security Vulnerability in OpenSSL 1.1.0 - [2017 年 2 月 16 日投稿]