|
|
■URL
http://www.rsa.com/pressbox/html/980626.html
http://www.bell-labs.com./news/1998/june/26/1.html
RSA Data Security社は26日、PKCS(Public Key Cryptography Standard) #1にセキュリティホールがあることを認めた。同仕様に従いSSLを実装しているサーバーソフトが影響を受けることになる。
セキュリティホールを発見したのは、Lucent Technologies社の研究機関Bell Labsに所属するDaniel Bleichenbacher氏。同氏によると、クライアントとサーバー間のSSLを使ったやり取りを監視し、それをもとにサーバーに対し約100万回質問を投げかけ、返ってきたメッセージを解析すると、やり取りされたデータをデコードすることが可能になるという。
これを受けて、MicrosoftやNetscapeなど、サーバー製品の開発元は、それぞれのサイトでアップデートパッチの配布を開始しており、上記のRSAのアナウンスページからリンクが張られている。
RSAでは、100万回におよぶ質問が投げかけられるため、サーバー管理者がエラーログなどからアタックを容易に発見できるとしている。ただし、アタックを発見できるだけで、データを盗み読まれることを防ぐことはできないので、SSLを利用しショッピングモールなどを運営しているサーバーの管理者は、早急にパッチを入手し、インストールしておいた方がいいだろう。
('98/6/29)
[Reported by yuno@impress.co.jp / yuy@ibm.net / Hiroyuki Et-OH]