ニュース

「OpenSSL」に重大なバグ、秘密鍵や通信内容が見られてしまう脆弱性

 オープンソースの暗号化ライブラリ「OpenSSL」において、情報漏えいにつながる脆弱性が見つかったことが公表された。提供元のOpenSSL Projectでは7日、この脆弱性を修正したバージョンを公開したほか、修正バージョンの適用が困難な場合の回避策も示している。日本のJPCERT/CCなどでも脆弱性情報を公開し、アップデートなどの対応を呼び掛けている。

 この脆弱性は、OpenSSLを実行しているシステムのメモリ内の情報を、遠隔の攻撃者が64KBずつ繰り返し取得できてしまうというもの。秘密鍵や暗号化された通信内容(ユーザー名・パスワードやコンテンツなど)が漏えいする可能性があるという。OpenSSLのTLS/DTLS実装であるHeartbeatエクステンションに存在するバグに起因しており、このバグは「Heartbleed Bug」と呼ばれている。

ファジングツールを開発・提供するCodenomicon社が「Heartbleed Bug」サイトを開設。このバグについてのQ&Aなどを掲載している

 影響を受けるOpenSSLのバージョンは「1.0.1」から「1.0.1f」まで、および「1.0.2-beta」から「1.0.2-beta1」まで。

 OpenSSL Projectでは、1.0.1系列についてこの脆弱性を修正したバージョン「1.0.1g」を公開。最新バージョンへのアップデート推奨しているが、修正済みバージョンへのアップデートが困難な場合は、Heartbeatエクステンションを無効(「-DOPENSSL_NO_HEARTBEATS」オプションを有効)にしてOpenSSLを再コンパイルするという回避策を示している。なお、1.0.2beta系列については「1.0.2-beta2」で対応する予定だという。

(永沢 茂)