JVN（Japan vulnerability Notes）に7月10日、OpenSSLに関する脆弱性が報告されています。

OpenSSL に証明書チェーンの検証不備の脆弱性

2015年7月9日、OpenSSL Project より OpenSSL Security Advisory [9 Jul 2015] が公開されました。
アドバイザリによると、次に挙げる脆弱性が修正され、修正版の OpenSSL 1.0.2d、1.0.1p がリリースされています。

この脆弱性により、HTTP通信の内容を閲覧されたり、改ざんされたりする可能性があるとのこと。SSLの根幹に関わる脆弱性であるがゆえに、重大な影響があります。

深刻度は「高」レベルとされており、至急のアップデートが推奨されています。

本脆弱性を修正した次のバージョンの OpenSSL が提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。

OpenSSL 1.0.2d
OpenSSL 1.0.1p

肝心の脆弱性の中身ですが、証明書の仕組みの根幹に問題があります。

通常、検証対象の証明書の正しさを証明するためには、ルートCAやトラストポイントまでにたどる証明書がすべて「正しい」必要があります。

これを「証明書チェーン」といいます。

今回は一連の処理の仕組みに脆弱性があり、不正なCAが経路上にあってもそれを不正と認識しない場合があるとのこと。

管理者は注意が必要です。