IPAは6月6日、オープンソースの暗号通信ライブラリ「OpenSSL」に、初期 SSL/TLS ハンドシェイクにおけるChange Cipher Spec メッセージの処理に脆弱性が発見されたとして、速やかに最新版を適用するよう呼びかけている。

OpenSSL Projectは6月5日、OpenSSLに関する6件の脆弱性(CVE-2014-0224、CVE-2014-0221、CVE-2014-0195、CVE-2014-0198、CVE-2010-5298、CVE-2014-3470)について、情報を公開した。

うち、CVE-2014-0224がChange Cipher Specメッセージの処理に関する脆弱性であり、これを悪用すると、中間者攻撃(MITM:Man-in-the-middle)を防ぐことができず、暗号通信の内容の漏洩や改竄を招くおそれがある。

Change Cipher Specメッセージの処理における脆弱性

この脆弱性はITベンダーのレピダムの技術者である菊池正史氏によって発見された。

その他の脆弱性は、

脆弱性が影響を受けるバージョンは、サーバは1.0.1 系列のうち 1.0.1g およびそれ以前で、クライアントは以下のとおり。

  • 0.9.8y以前のすべてのバージョン
  • 1.0.1から1.0.1g
  • 1.0.0から1.0.0l

それぞれ、脆弱性を修正した最新版(0.9.8za、1.0.0から1.0.0l、1.0.1から1.0.1g)が公開されている。

すでに、UbuntuDebianFreeBSDCentOSRed Hat 5Red Hat 6Amazon Linux AMIについては、この脆弱性に対応した修正版が公開されている。