ニュース

“DROWN”“CacheBleed”脆弱性に対処した「OpenSSL」の最新版が公開

SSLv2が初期状態で無効化

 SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版が、1日に公開された。今回のアップデートではSSLv2が初期状態で無効化されたほか、“DROWN”“CacheBleed”と名付けられた深刻な脆弱性が修正されている。

 「OpenSSL」プロジェクトが公開したセキュリティアドバイザリによると、今回修正された脆弱性は全部で8件。深刻度の内訳は、4段階中2番目の“High”が2件、3番目の“Moderate”が1件、最低の“Low”が5件となっている。

 深刻度“High”のうち1件は“DROWN(Decrypting RSA with Obsolete and Weakened eNcryption)”と呼ばれており、サーバー側でSSLv2が利用可能な設定となっている場合などに、秘密鍵などの重要な情報を取得されてしまう恐れがある(CVE-2016-0800)。「OpenSSL」を最新版のv1.0.1s/v1.0.2gへアップデートするか、アップデートが困難な場合はサーバー側でSSLv2を無効化することが推奨されている。

 一方、“CacheBleed”は暗号処理を行っている装置の物理的特性を観察・測定することにより秘密情報の取得を試みる“サイドチャンネル攻撃”の一種で、IntelのSandy Bridgeマイクロアーキテクチャーのキャッシュバンクにおける競合に起因するという(CVE-2016-0702)。最悪の場合、RSA秘密鍵が取得できる恐れがあるが、“Hyper Threading”技術などにより同じCPUコアで処理が実行されている場合に限るなど実行可能性が限定的であるため、深刻度は“Low”と判定されている。

 なお、「OpenSSL」のv1.0.0系統とv0.9.8系統のサポートは2015年12月31日で終了しているので注意。これらのバージョンに対してはセキュリティアップデートは提供されない。また、v1.0.1系統も2016年12月31日でサポートが打ち切られる。

(樽井 秀人)