IPA、「OpenSSL」の旧版を利用しているWebサイトに注意喚起
OpenSSL 0.9.8以前にはバージョン・ロールバックの脆弱性が存在する |
情報処理推進機構(IPA)は8日、脆弱性が存在する旧バージョンの「OpenSSL」を利用しているWebサイト運営者に対して、バージョンアップ実施を呼びかける注意喚起を発表した。
IPAでは、2008年11月頃からOpenSSLを使用している複数のWebサイトに対して、「脆弱性対策を実施したバージョンが既に公表されているにも関わらず、Webサイト運営者がそのバージョンを適用していないのではないか」という旨の届出が増加していると説明。具体的には、2005年10月に公表された「OpenSSLにおけるバージョン・ロールバックの脆弱性」の修正バージョン未適用の届出が、2009年8月末までに88件あったという。Webサイト運営主体の内訳は、民間企業が50件、地方公共団体が27件、政府機関が9件、団体(協会・組合など)が2件。
OpenSSLには、2005年10月に公表されたバージョン・ロールバックの脆弱性があり、この脆弱性を悪用されると、弱い暗号化通信方式を強制され、暗号通信を解読されて情報が漏えいする可能性がある。このほか、OpenSSLには、バッファオーバーフローの脆弱性やサービス運用妨害(DoS)の脆弱性も公表されている。
対処方法としては、脆弱性対策を施した最新版へのバージョンアップが必要となる。現時点で既知の脆弱性については、2009年3月25日に公開されたOpenSSL 0.9.8k以降で対策されているため、IPAではWebサイト運営者に対して最新版へのバージョンアップの実施と、今後の新たな脆弱性の公表に備えて、定期的に開発者が発信する情報を収集することを呼びかけている。
関連情報
(三柳 英樹)
2009/9/8 15:07
-ページの先頭へ-