OpenSSLに脆弱性が発見される。脆弱性あり過ぎでは?その歴史を追いかける

OpenSSLに複数の脆弱性が発見されていると、JVNが報じています。

JVNVU#95113540OpenSSL に複数の脆弱性

 

中身を読むと、致命的な脆弱性ではないものの、幾つかの懸念事項が存在するため、管理者は最新版にアップデートすることが推奨されます。

 

かねてから、OpenSSLには脆弱性が断続的に発見されており、セキュリティ対策の煩雑さを認識させてくれます。

初回は、ハートブリードというバグで、全世界にショックを引き起こしました。

http://heartbleed.com/

 

その後に再度、OpenSSLの脆弱性が報告。たった2ヶ月後です。2014年6月のことです。

「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)

 

そして、1年を待たず、その後に来たのはFREAK。これが2015年3月のことです。

SSL/TLS通信時の脆弱性「FREAK」、その影響度は?

1990年台から存在していた、というバグであり、その被害は想定することも難しいでしょう。

 

そして、2015年7月の脆弱性報告。

OpenSSLにまた脆弱性–最新版で修正

 

そして今回の脆弱性です。

実際の影響がすでに出ています。新幹線の「エクスプレス予約」では、この脆弱性によってサイトの運営方針に変更が出ています。

インターネット通信で使用する暗号化方式「SSL3.0」については、脆弱性が指摘されていることから、
エクスプレス予約のサイトにおいてはTLS1.0に対応した端末をご利用いただくよう案内しておりましたが、
平成28年1月20日(水)より、「SSL3.0」の利用を停止させていただきます。
そのため、TLS1.0に対応していない一部の携帯端末、ご利用のブラウザで「SSL3.0」のみを
有効としている場合は、エクスプレス予約へアクセスできなくなりますので
TLS1.0対応端末をご利用いただきますようお願いたします。

ご注意下さい。

 

LINEで送る
Pocket

こんな記事も読まれています