Japan Vulnerability Notes

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は1月29日(現地時間)、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVNVU#95668716 - OpenSSL の DH プロトコルにおける脆弱性」、OpenSSLの脆弱性について伝えた。

脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。

  • OpenSSL 1.0.2f よりも前のバージョン
  • OpenSSL 1.0.1r よりも前のバージョン

今回発見された脆弱性は、OpenSSLのDiffie-Hellmanプロトコルにおいて安全素数ではない素数を使われると暗号化に使用する鍵が特定される危険性があるというもの。この脆弱性を悪用されると、TLSといった通信において通信内容を傍受される危険性がある。

該当のバージョンのOpenSSLを使っている場合はプロジェクトのサイトで最新の情報をチェックするとともに、脆弱性に対応する方法が公開されている場合は迅速に対処することが推奨される。