OpenSSLに新たな脆弱性、セキュア通信を傍受されるおそれ – Symantec

公開日: : 最終更新日:2015/07/30 NEWS , , , ,

1: ひろし ★ 2015/07/13(月) 21:23:08.92 ID:???*.net

シマンテックは7月10日、OpenSSLで新たな脆弱性が見つかったと、同社のセキュリティブログで明かした。

今回の脆弱性は、攻撃者がOpenSSLの脆弱性を悪用すると、偽のデジタル証明書を有効な
証明書として受け入れるように標的のコンピューターを誘導し、セキュア通信を傍受できるようになるというもの。
さらに、中間者(MTM)攻撃も実行できるという。

そもそもOpenSSLは、暗号プロトコル SSLとTLSにおいて普及率が高いオープンソース実装。
インターネットに接続するデバイスで広く使われており、特にWebサーバでは特に普及率が高く、全体の3分の2程度がOpenSSLを利用している。

脆弱性は「Alternative Chains Certificate Forgery Vulnerability(代替チェーンによる証明書偽造の脆弱性)」と
呼ばれているもので、OpenSSLにおける証明書の検証プロセスに深く関係している。

具体的には、SSL証明書はチェーンで発行され、ルート認証局(CA)から中間CAを経てエンドユーザーの証明書へとたどり着く。
信頼できるCAによって発行された証明書かどうかを接続元デバイスで確認できない場合は、
信頼できるCAが見つかるまで、もう1度チェーンを上にたどる。それでも確認されない場合は、エラーメッセージが返され、セキュア接続が拒否される。

チェーンの検証は、Webブラウザやメールサーバなど、SSL/TLSクライアント・ソフトウェアによって実行されるのが一般的だ。
一部のWebサーバはクライアントの証明書を認証することによって、サイト訪問者を受け入れるように設定されている。
こうしたWebサーバで、証明書チェーンの検証で使われるOpenSSLが該当のバージョンだった場合、今回の脆弱性の影響を受けることになる。

脆弱性の影響を受けるのはOpenSSLの一部のバージョンで、1.0.2c、1.0.2b、1.0.1n、1.0.1oが該当する。
対策は最新版へのアップグレードとなっており、1.0.2bと1.0.2cの利用者は1.0.2dに、
また、1.0.1nおよび1.0.1oの利用者は1.0.1pにバージョンアップする必要がある。
さらに、OpenSSLプロジェクトが公開するセキュリティ更新プログラムを適用する。

一方で、サイト訪問者を認証しないサーバ、またはパスワードなど他の手段で
サイト認証者を認証するサーバは、該当するOpenSSLを使っていても影響を受けないという。

http://www.excite.co.jp/News/column_g/20150713/Cobs_237147.html

2: 名無しさん@1周年 2015/07/13(月) 21:25:14.03 ID:zYSYtb050.net
ネットでエ□動画と2Ch閲覧しかしてない俺に何か影響ありますか?お?

 

4: 名無しさん@1周年 2015/07/13(月) 21:27:57.08 ID:mxqNrzht0.net
>>2
閲覧だけじゃなくて書き込んでるじゃないか

スポンサーリンク

12: 名無しさん@1周年 2015/07/13(月) 21:34:45.89 ID:zYSYtb050.net
>>4
もしかして俺に成りすまして「ち○こ!」とか書き込まれたりする危険性があるってこと?

 

11: 名無しさん@1周年 2015/07/13(月) 21:34:35.84 ID:sPuPeFuO0.net
>>2
いつものお気に入りのエ□動画サイトの画面見ながらシコシコしてたら、
実は、ホ○専用のライブ動画サイトに繋がって、鑑賞される側になっていた

 

9: 名無しさん@1周年 2015/07/13(月) 21:33:45.72 ID:ZRZv379c0.net
クライアント証明書なんてクソ面倒で誰も使ってないだろ

 

14: 名無しさん@1周年 2015/07/13(月) 21:35:38.88 ID:0gPB/Cgo0.net
で、これがセブンATMの認証に使われてたというオチかい?

 

21: 名無しさん@1周年 2015/07/13(月) 21:53:27.98 ID:3LDVotwQ0.net

ま、このバグは危ないサイトも安全なサイトのふり出来るってだけだからね。心肺ない。

脆弱性利用して出来ることっていったら
銀行の振りしてメールだして
リンククリックさせて
アドレスバーに緑の証明済サイトのマークで安心させて
本物の口座で取引してるように勘違いさせて
嘘の取引で口座番号と暗証番号と第二第三暗証番号を盗聴されて
口座の金すっからかんにされる程度しか被害ないから。

 

23: 名無しさん@1周年 2015/07/13(月) 21:57:05.64 ID:zYSYtb050.net
>>21
だめじゃん
ネットバンクやめるわ

 

25: 名無しさん@1周年 2015/07/13(月) 22:02:28.51 ID:3LDVotwQ0.net
>>23
ポイントは本家が対策しても無駄ってとこかな。
とはいえ、詐欺サイトがそれっぽく見えるのに貢献するだけだから、注意深い奴は大丈夫だよ。
メール添付のexeとかクリックしちゃうようなアホの子は引っかかるかもね。

 

24: 名無しさん@1周年 2015/07/13(月) 22:00:23.71 ID:m8uXrtXs0.net

つかっているバージョンを確認するのにはどうしたらいいの?
% openssl -v
% openssl –help

とかじゃ表示もされないし。

 

27: 名無しさん@1周年 2015/07/13(月) 22:05:14.30 ID:mxqNrzht0.net
>>24
openssl version

 

43: 名無しさん@1周年 2015/07/14(火) 02:10:51.17 ID:cKTRJ9N30.net

>>24
# su –
# rpm -ef openss*

これで文句なし

 

29: 名無しさん@1周年 2015/07/13(月) 22:14:44.80 ID:rUnMzko/0.net
>>1
そのロジックだと、
端末側で対策しなければ意味ない気がするんだが。

 

42: 名無しさん@1周年 2015/07/14(火) 02:03:32.39 ID:jbjh7U8v0.net
>>29
クライアントが送ってくる証明書の検証ロジックに脆弱性

 

30: 名無しさん@1周年 2015/07/13(月) 22:16:07.87 ID:3LDVotwQ0.net
本家サイトがきちんと対策するを前提なら偽装程度しかなさそうだけも
本家サイト側で対策遅れて脆弱性の正しい使い方でミドルマン攻撃されて被害だして恥かく会社がでてきてらアレだな
年金サイトとかまたやらかしそうで

 

34: 名無しさん@1周年 2015/07/13(月) 22:42:30.81 ID:bGWfI5f50.net
うちはIISだから問題無し
英語も出来ない奴がApacheを使うと結局割高になりがちなんだよなぁ

 

39: 名無しさん@1周年 2015/07/14(火) 01:01:55.72 ID:W1FJeQjg0.net
>>34
えーっと。。。どこからツッコんで良いのやら。

 

41: 名無しさん@1周年 2015/07/14(火) 01:09:17.19 ID:y5PzcMH/0.net
>>39
突っ込む必要ないだろ?
CVE-2015-1793はIISかんけーし

 

37: 名無しさん@1周年 2015/07/13(月) 23:59:23.08 ID:rNor1wAP0.net

もー、またかよ。
また、糞客がアップデートを検討しろとか言ってきそうでウンザリ。
金くれない癖に、それくらい自分でやれよカスが。

明日になったら、また、めんどくせーメールのやり取りやってるんだろうな、俺。

 

38: 名無しさん@1周年 2015/07/14(火) 00:59:58.38 ID:y5PzcMH/0.net
>>37
いや、先週金曜には対応終えとけよw

 

40: 名無しさん@1周年 2015/07/14(火) 01:08:26.96 ID:xj6ykZnx0.net
最近、AmazonとかのSSLページで、
しょっちゅう新しい認証機関を受け入れさせようとウザくダイアログが出てくるけど、
怪しいと思って全て受け入れてなかったけど、
あれも貧弱性を狙った攻撃なのか

スポンサーリンク

45: 名無しさん@1周年 2015/07/14(火) 07:40:25.17 ID:gZQlhljU0.net
ああまたかと思ったが
うちクライアント証明書使ってないわ
よかった

引用元URL:http://ai.2ch.sc/test/read.cgi/newsplus/1436790188/

関連記事

wpid-d9bCjZS.jpg

【経済】サムスンとLG、世界の薄型TV市場席巻シェア合計46.5%!

1: 幽斎 ★@\(^o^)/ 2014/06/05(木) 13:12:10.16 ID:???0

記事を読む

https---www.pakutaso.com-assets_c-2015-06-PAK86_hiyashicyuka15193649-thumb-1000xauto-17043

YouTube、8K動画始めました

1: ムーンサルトプレス(神奈川県)@\(^o^)/ 2015/06/11(木) 12:58:3

記事を読む

mv_01

富士通のARROWSガラホ 売りは「LINEがスマホより快適!」

1: ニーリフト(空)@\(^o^)/ 2015/07/04(土) 22:17:55.61 ID

記事を読む

SnapCrab_NoName_2015-7-19_12-49-33_No-00

【携帯販売ランキング】相変わらずiPhone 6が上位を独占 Nexus 5が躍進 Xperia Z4は相変わらず売れず

1: シューティングスタープレス(京都府)@\(^o^)/ 2015/07/18(土) 23:2

記事を読む

img_0

「Windows 10」“開発完了(RTM)” ←発表がない理由は、Windows10は永遠に『未完で成長』するOSX方式を採用するから

1: フランケンシュタイナー(東日本)@\(^o^)/ 2015/07/19(日) 15:09:

記事を読む

company_blog

ブログに猥褻画像を乗せたブロガー13人、全国一斉摘発

1: ハーフネルソンスープレックス(東京都)@\(^o^)/ 2015/11/26(木) 19:

記事を読む

PAK56_okaikeicureka20140208500-thumb-1027x600-4247

【危険】ビックカメラの社員が客のカード情報を盗む コミュニティーサイトに利用

1: ぽこんち ★@\(^o^)/ 2014/07/04(金) 14:10:31.96 ID:??

記事を読む

201502161055223b1

厚切りジェイソン「日本の新卒採用はおかしい、スペシャリスト以外は仕事がなくなる、日本のITは効率が悪い!!」

1: 海江田三郎 ★ 2015/09/01(火) 10:54:46.68 ID:???.net

記事を読む

gv3_s

ノートPC並みの、18.4インチの巨大過ぎるタブレット「Galaxy View」日本直輸入で発売

1: 海江田三郎 ★ 2015/11/24(火) 09:17:12.83 ID:CAP_USER.

記事を読む

OZPA89_danboruomottayatutochigau500-thumb-500x724-3282

オークションの悪質な詐欺は健在! ご注意を!

1: サソリ固め(空)@\(^o^)/ 2014/07/21(月) 16:54:47.48 ID

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

  • Sorry. No data so far.

PAGE TOP ↑