- 2015年7月11日
- その他脆弱性情報
OpenSSLに脆弱性、深刻度は「高」レベル。
JVN(Japan vulnerability Notes)に7月10日、OpenSSLに関する脆弱性が報告されています。
OpenSSL に証明書チェーンの検証不備の脆弱性
2015年7月9日、OpenSSL Project より OpenSSL Security Advisory [9 Jul 2015] が公開されました。
アドバイザリによると、次に挙げる脆弱性が修正され、修正版の OpenSSL 1.0.2d、1.0.1p がリリースされています。
この脆弱性により、HTTP通信の内容を閲覧されたり、改ざんされたりする可能性があるとのこと。SSLの根幹に関わる脆弱性であるがゆえに、重大な影響があります。
深刻度は「高」レベルとされており、至急のアップデートが推奨されています。
本脆弱性を修正した次のバージョンの OpenSSL が提供されています。開発者が提供する情報をもとに、最新版へアップデートしてください。
OpenSSL 1.0.2d
OpenSSL 1.0.1p
肝心の脆弱性の中身ですが、証明書の仕組みの根幹に問題があります。
通常、検証対象の証明書の正しさを証明するためには、ルートCAやトラストポイントまでにたどる証明書がすべて「正しい」必要があります。
これを「証明書チェーン」といいます。
今回は一連の処理の仕組みに脆弱性があり、不正なCAが経路上にあってもそれを不正と認識しない場合があるとのこと。
管理者は注意が必要です。