「OpenSSL」に暗号通信を解読可能な脆弱性“Raccoon Attack” ～パッチ提供のない旧版は注意

脆弱性レポート“JVNVU#91973538”

　脆弱性対策情報ポータルサイト“JVN”は9月10日、脆弱性レポート“JVNVU#91973538”を公開した。SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」に暗号通信を解読可能な脆弱性（CVE-2020-1968）が存在するという。

　レポートによると、中間者攻撃が可能な環境でDiffie-Hellman鍵交換を行う際、TLSハンドシェイク時に使用するプリマスターシークレットが解かれ、サーバーとクライアント間でやり取りされる通信内容を解読される恐れがある。この攻撃手法は“Raccoon Attack”と呼ばれており、深刻度の評価は“低”。ランタイム設定でDiffie-Hellman鍵交換を無効にすることで問題を回避できる。

　本脆弱性が影響するバージョンは、「OpenSSL 1.0.2w」より前の「OpenSSL 1.0.2」系。「OpenSSL 1.1.1」は影響を受けない。「OpenSSL 1.0.2」はすでにサポートが終了しているため、有償のプレミアムサポートを経由してアップデートを受け取るか、「OpenSSL 1.1.1」へ移行する必要がある。