OpenSSLの新たな脆弱性が発覚。10年放置されてた

140606_opensslbug.jpg

発見した菊池さん、おつかれさまです!

深刻な脆弱性Heartbleedが発見されて間もないOpenSSLですが、また新たなセキュリティホールが見つかりました。ただ良いニュースは、すでに修正方法があるということです。でも悪いニュースは、この脆弱性は10年間存在し続けていて、どの程度悪用されていたかがわからないことです…。

Wiredによれば、OpenSSL財団がすでにこのバグについての注意勧告を出しています。バグを発見したのは日本のセキュリティ企業レピダムの菊池正史氏で、「CCS Injection脆弱性」とよばれています。

このバグを悪用すると、セキュアな接続を確立する「ハンドシェイク」の過程に攻撃者が入り込み、第三者が知りうる弱い暗号鍵を使わせるよう強制されてしまいます。これによって、暗号化されたデータでも攻撃者から解読可能になってしまいます。

幸い、レピダムがこのバグの詳細と対策を公開してくれました。ただ問題は、過去に攻撃されていても痕跡が残っていないことです。

source: レピダム via Wired

Mario Aguilar-Gizmodo US[原文

(miho)