ニュース
SSL/TLSライブラリ「OpenSSL」の最新版v1.0.1j/v1.0.0o/v0.9.8zcが公開
“SSL 3.0”に関わる2件を含む4件のセキュリティ修正
(2014/10/16 16:34)
SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版v1.0.1j/v1.0.0o/v0.9.8zcが、15日に公開された。現在、「OpenSSL」プロジェクトの公式サイトからダウンロード可能。今回のアップデートでは、4件のセキュリティに関わる修正が施されている。
このうち2件は“SSL 3.0”に関わるもので、1つは“SSL 3.0”のサポートを無効化する“no-ssl3”オプションを指定してビルドしても“SSL 3.0”接続を受け付けてしまう問題(CVE-2014-3568)の修正、もう1つは“TLS_FALLBACK_SCSV”オプションのサポートとなっている。“TLS_FALLBACK_SCSV”オプションは、セキュア接続に失敗した際に“SSL 3.0”へダウングレードして接続を再試行するのを防止するオプションで、互換性を保ちつつセキュリティを維持する方法としてGoogleも利用を推奨している。
“SSL 3.0”は約18年に渡って利用されており、幅広いソフトウェアでサポートされている。しかし、先日明らかにされた“POODLE”脆弱性をはじめとする問題を抱えているため、後継に位置づけられる“TLS”の利用が推奨されている。
なお、そのほかの2件は“SRTP”プロトコルの利用時にメモリリークが発生する問題(CVE-2014-3513、深刻度“High”、v1.0系のみ影響)と、セッションチケットのチェックに失敗した際にメモリの解放に失敗する問題(CVE-2014-3567、深刻度“Medium”)の修正となっている。