- 2015年12月9日
- その他脆弱性情報
OpenSSLに脆弱性が発見される。脆弱性あり過ぎでは?その歴史を追いかける
OpenSSLに複数の脆弱性が発見されていると、JVNが報じています。
中身を読むと、致命的な脆弱性ではないものの、幾つかの懸念事項が存在するため、管理者は最新版にアップデートすることが推奨されます。
かねてから、OpenSSLには脆弱性が断続的に発見されており、セキュリティ対策の煩雑さを認識させてくれます。
初回は、ハートブリードというバグで、全世界にショックを引き起こしました。
その後に再度、OpenSSLの脆弱性が報告。たった2ヶ月後です。2014年6月のことです。
「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)
そして、1年を待たず、その後に来たのはFREAK。これが2015年3月のことです。
1990年台から存在していた、というバグであり、その被害は想定することも難しいでしょう。
そして、2015年7月の脆弱性報告。
そして今回の脆弱性です。
実際の影響がすでに出ています。新幹線の「エクスプレス予約」では、この脆弱性によってサイトの運営方針に変更が出ています。
インターネット通信で使用する暗号化方式「SSL3.0」につい
ては、脆弱性が指摘されていることから、
エクスプレス予約のサイトにおいてはTLS1.0に対応した端末をご利用いただくよう案内しておりましたが、
平成28年1月20日(水)より、「SSL3.0」の利用を停止させていただきます。
そのため、TLS1.0に対応していない一部の携帯端末、ご利用のブラウザで「SSL3.0」のみを
有効としている場合は、エクスプレス予約へアクセスできなくなりますので
TLS1.0対応端末をご利用いただきますようお願いたします。
ご注意下さい。