少し前にOpenSSLの脆弱性が発見されちょっとした騒ぎになっていましたが、昨日もまた新たな脆弱性が発見されました。
ニュースによると、どうやら日本人が発見したとのことですが、それはどうでもよろしいと思っています。
それよりも引き起こされる問題と解決方法について知りたいのですが、不明な点が多いです。
以前の"HeartBleed"と、今回の"CCS Injection"、併せて記録しておきます。
- CVE-2014-0160:HeartBleed:2014/04/07
読み取りオーバーランにより、不適切なコードを実行&SSLの秘密鍵が取得できてしまうなどの諸問題が発生する。
OpenSSLを使用している各種ディストリビューションではパッチが発行され、一応の事態収束に向かっている。
個人的には DebianやFedora、RedHatなどのサーバにパッチを当てて問題がなくなることを確認した。- NISTの脆弱性情報データベース:CVSS v2 Base Score: 5.0 (MEDIUM)
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160
- 自身の(Web)サーバに問題がないかは以下で確認可能
("All good"って出たら大丈夫)
https://filippo.io/Heartbleed/CVE-2014-0224:CCS Injection:2014/06/05
- NISTの脆弱性情報データベース:CVSS v2 Base Score: 5.0 (MEDIUM)
- CVE-2014-0224:CCS Injection:2014/06/05
脆弱性の存在するOpenSSLを使用したサーバ、脆弱性の存在するOpenSSLを使用したクライアント間で通信を行う際に、長さ0の情報をChangeCipherSpecメッセージに不適切なタイミングで紛れ込ませることによりセッションを奪い取ったり、機密情報の入手が可能になる。とのこと。
サーバ、クライアントのどちらかが対策されれば問題は発生しなくなる。
ただしパッチが発行されたかどうかは現時点(2014/6/6)で定かではない。
またハートブリードに比べてどの程度深刻なのかは不明。
※拾い集めた情報を要約したので説明に不備がある可能性があります
追加/訂正情報をお持ちの方は是非教えてください。- NISTの脆弱性情報データベース:※現在分析中とのこと
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
- NISTの脆弱性情報データベース:※現在分析中とのこと
※上記脆弱性情報データベースの各種スコア値は下記IPAの情報を参照してください
http://www.ipa.go.jp/security/vuln/CVSS.html