パソコンの誤操作、不正アクセス、紛失、盗難などによる個人情報や機密情報の流出などは後を絶ちません。
「情報漏えいニュース」では、日々発生する情報漏えいに関するニュースをまとめて公開しています。

OpenSSL、2件の脆弱性を修正したアップデートを公開

  • 元記事:[openssl-announce] OpenSSL Security Advisory
  • 元記事:OpenSSL Security Advisory
  • HP:OpenSSL
  • 発表日時 2016/1/28

    OpenSSLは2件の脆弱性を修正したアップデートを公開した。2件のうちの1件はDiffie-Hellman プロトコルの脆弱性でOpenSSL 1.0.2が影響を受ける。OpenSSL 1.0.2では、X9.42方式のパラメータファイルを生成するが、このモードで生成される素数が安全でないため、攻撃者に鍵を回復される恐れがある。さらに、この素数はプロセスの間デフォルトで再利用されるため、TLSなどの脆弱なアプリではDiffie-Hellman非公開指数を決定し、トラフィックが複合される恐れがあり、危険度が「高」になっている。
    もう1件の脆弱性は無効化されたSSLv2暗号が通過してしまう脆弱性で、影響を受けるのはOpenSSL 1.0.2及び1.0.1で、危険度は「低」になっている。これらの脆弱性を修正したOpenSSL 1.0.2f 及び OpenSSL 1.0.1rが公開され、アップデートによりこの脆弱性は解消される。なお、2016年12月31日をもって、OpenSSL 1.0.1のサポートは終了し、セキュリティアップデートは提供されなくなる。




    ワンビは情報漏洩対策の専門家です。情報漏洩に関する様々な情報はこちらからどうぞ!

    おすすめ