OpenSSLに新たな脆弱性、セキュア通信を傍受されるおそれ – Symantec

公開日: : 最終更新日:2015/07/30 NEWS , , , ,

1: ひろし ★ 2015/07/13(月) 21:23:08.92 ID:???*.net

シマンテックは7月10日、OpenSSLで新たな脆弱性が見つかったと、同社のセキュリティブログで明かした。

今回の脆弱性は、攻撃者がOpenSSLの脆弱性を悪用すると、偽のデジタル証明書を有効な
証明書として受け入れるように標的のコンピューターを誘導し、セキュア通信を傍受できるようになるというもの。
さらに、中間者(MTM)攻撃も実行できるという。

そもそもOpenSSLは、暗号プロトコル SSLとTLSにおいて普及率が高いオープンソース実装。
インターネットに接続するデバイスで広く使われており、特にWebサーバでは特に普及率が高く、全体の3分の2程度がOpenSSLを利用している。

脆弱性は「Alternative Chains Certificate Forgery Vulnerability(代替チェーンによる証明書偽造の脆弱性)」と
呼ばれているもので、OpenSSLにおける証明書の検証プロセスに深く関係している。

具体的には、SSL証明書はチェーンで発行され、ルート認証局(CA)から中間CAを経てエンドユーザーの証明書へとたどり着く。
信頼できるCAによって発行された証明書かどうかを接続元デバイスで確認できない場合は、
信頼できるCAが見つかるまで、もう1度チェーンを上にたどる。それでも確認されない場合は、エラーメッセージが返され、セキュア接続が拒否される。

チェーンの検証は、Webブラウザやメールサーバなど、SSL/TLSクライアント・ソフトウェアによって実行されるのが一般的だ。
一部のWebサーバはクライアントの証明書を認証することによって、サイト訪問者を受け入れるように設定されている。
こうしたWebサーバで、証明書チェーンの検証で使われるOpenSSLが該当のバージョンだった場合、今回の脆弱性の影響を受けることになる。

脆弱性の影響を受けるのはOpenSSLの一部のバージョンで、1.0.2c、1.0.2b、1.0.1n、1.0.1oが該当する。
対策は最新版へのアップグレードとなっており、1.0.2bと1.0.2cの利用者は1.0.2dに、
また、1.0.1nおよび1.0.1oの利用者は1.0.1pにバージョンアップする必要がある。
さらに、OpenSSLプロジェクトが公開するセキュリティ更新プログラムを適用する。

一方で、サイト訪問者を認証しないサーバ、またはパスワードなど他の手段で
サイト認証者を認証するサーバは、該当するOpenSSLを使っていても影響を受けないという。

http://www.excite.co.jp/News/column_g/20150713/Cobs_237147.html

2: 名無しさん@1周年 2015/07/13(月) 21:25:14.03 ID:zYSYtb050.net
ネットでエ□動画と2Ch閲覧しかしてない俺に何か影響ありますか?お?

 

4: 名無しさん@1周年 2015/07/13(月) 21:27:57.08 ID:mxqNrzht0.net
>>2
閲覧だけじゃなくて書き込んでるじゃないか

スポンサーリンク

12: 名無しさん@1周年 2015/07/13(月) 21:34:45.89 ID:zYSYtb050.net
>>4
もしかして俺に成りすまして「ち○こ!」とか書き込まれたりする危険性があるってこと?

 

11: 名無しさん@1周年 2015/07/13(月) 21:34:35.84 ID:sPuPeFuO0.net
>>2
いつものお気に入りのエ□動画サイトの画面見ながらシコシコしてたら、
実は、ホ○専用のライブ動画サイトに繋がって、鑑賞される側になっていた

 

9: 名無しさん@1周年 2015/07/13(月) 21:33:45.72 ID:ZRZv379c0.net
クライアント証明書なんてクソ面倒で誰も使ってないだろ

 

14: 名無しさん@1周年 2015/07/13(月) 21:35:38.88 ID:0gPB/Cgo0.net
で、これがセブンATMの認証に使われてたというオチかい?

 

21: 名無しさん@1周年 2015/07/13(月) 21:53:27.98 ID:3LDVotwQ0.net

ま、このバグは危ないサイトも安全なサイトのふり出来るってだけだからね。心肺ない。

脆弱性利用して出来ることっていったら
銀行の振りしてメールだして
リンククリックさせて
アドレスバーに緑の証明済サイトのマークで安心させて
本物の口座で取引してるように勘違いさせて
嘘の取引で口座番号と暗証番号と第二第三暗証番号を盗聴されて
口座の金すっからかんにされる程度しか被害ないから。

 

23: 名無しさん@1周年 2015/07/13(月) 21:57:05.64 ID:zYSYtb050.net
>>21
だめじゃん
ネットバンクやめるわ

 

25: 名無しさん@1周年 2015/07/13(月) 22:02:28.51 ID:3LDVotwQ0.net
>>23
ポイントは本家が対策しても無駄ってとこかな。
とはいえ、詐欺サイトがそれっぽく見えるのに貢献するだけだから、注意深い奴は大丈夫だよ。
メール添付のexeとかクリックしちゃうようなアホの子は引っかかるかもね。

 

24: 名無しさん@1周年 2015/07/13(月) 22:00:23.71 ID:m8uXrtXs0.net

つかっているバージョンを確認するのにはどうしたらいいの?
% openssl -v
% openssl –help

とかじゃ表示もされないし。

 

27: 名無しさん@1周年 2015/07/13(月) 22:05:14.30 ID:mxqNrzht0.net
>>24
openssl version

 

43: 名無しさん@1周年 2015/07/14(火) 02:10:51.17 ID:cKTRJ9N30.net

>>24
# su –
# rpm -ef openss*

これで文句なし

 

29: 名無しさん@1周年 2015/07/13(月) 22:14:44.80 ID:rUnMzko/0.net
>>1
そのロジックだと、
端末側で対策しなければ意味ない気がするんだが。

 

42: 名無しさん@1周年 2015/07/14(火) 02:03:32.39 ID:jbjh7U8v0.net
>>29
クライアントが送ってくる証明書の検証ロジックに脆弱性

 

30: 名無しさん@1周年 2015/07/13(月) 22:16:07.87 ID:3LDVotwQ0.net
本家サイトがきちんと対策するを前提なら偽装程度しかなさそうだけも
本家サイト側で対策遅れて脆弱性の正しい使い方でミドルマン攻撃されて被害だして恥かく会社がでてきてらアレだな
年金サイトとかまたやらかしそうで

 

34: 名無しさん@1周年 2015/07/13(月) 22:42:30.81 ID:bGWfI5f50.net
うちはIISだから問題無し
英語も出来ない奴がApacheを使うと結局割高になりがちなんだよなぁ

 

39: 名無しさん@1周年 2015/07/14(火) 01:01:55.72 ID:W1FJeQjg0.net
>>34
えーっと。。。どこからツッコんで良いのやら。

 

41: 名無しさん@1周年 2015/07/14(火) 01:09:17.19 ID:y5PzcMH/0.net
>>39
突っ込む必要ないだろ?
CVE-2015-1793はIISかんけーし

 

37: 名無しさん@1周年 2015/07/13(月) 23:59:23.08 ID:rNor1wAP0.net

もー、またかよ。
また、糞客がアップデートを検討しろとか言ってきそうでウンザリ。
金くれない癖に、それくらい自分でやれよカスが。

明日になったら、また、めんどくせーメールのやり取りやってるんだろうな、俺。

 

38: 名無しさん@1周年 2015/07/14(火) 00:59:58.38 ID:y5PzcMH/0.net
>>37
いや、先週金曜には対応終えとけよw

 

40: 名無しさん@1周年 2015/07/14(火) 01:08:26.96 ID:xj6ykZnx0.net
最近、AmazonとかのSSLページで、
しょっちゅう新しい認証機関を受け入れさせようとウザくダイアログが出てくるけど、
怪しいと思って全て受け入れてなかったけど、
あれも貧弱性を狙った攻撃なのか

スポンサーリンク

45: 名無しさん@1周年 2015/07/14(火) 07:40:25.17 ID:gZQlhljU0.net
ああまたかと思ったが
うちクライアント証明書使ってないわ
よかった

引用元URL:http://ai.2ch.sc/test/read.cgi/newsplus/1436790188/

関連記事

00-top_m

次期BlackBerryは物理キーボード付きAndroid

1: 稲妻レッグラリアット(東京都)@\(^o^)/ 2015/07/06(月) 13:24:0

記事を読む

amazon12-600x420

Amazon、マーケットプレイスに出品されている7000万点の中古品を集めた「中古ストア」オープン

1: 海江田三郎 ★ 2015/09/17(木) 19:15:32.17 ID:???.net

記事を読む

スクリーンショット 2014-05-10 14.15.43

【速報】 iPhone6  4.7インチ版→8月発売  5.6インチ版→9月発売

1: バックドロップ(新疆ウイグル自治区)@\(^o^)/ 2014/05/09(金) 23:5

記事を読む

pr-e1441607791939

【MVNO】『BIGLOBE SIM』が料金改定、データ3G通話付きで1600円

1: 海江田三郎 ★ 2015/09/08(火) 10:08:13.28 ID:???.net

記事を読む

スクリーンショット 2014-05-10 14.31.44

Facebook終了。サービス大幅縮小。Windowsでは新着メッセージ通知すら出なくなる。

1: 中年'sリフト(空)@\(^o^)/ 2014/05/09(金) 07:55:12.96

記事を読む

2af8df200fa7c5a00def5a6bfe3f7ed9_s

北米のIPv4アドレス、ガチで枯渇

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 0994-gR+D) 20

記事を読む

3.IMGP0726

プログラミングコンテストで小学6年生の「中馬慎之祐」くんが最優秀賞受賞

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 5474-xl1J) 20

記事を読む

A Google self-driving vehicle is parked at the Computer History Museum after a presentation in Mountain View, California May 13, 2014. REUTERS/Stephen Lam/Files

Googleカーは安全運転すぎて事故に遭う

1: @Sunset Shimmer ★ 2015/09/08(火) 16:26:55.83 ID

記事を読む

wpid-watch_features.gif

Googleが発明した手で画面を触らずにデバイスを操作できる技術が未来的でカッコイイ

1: クロイツラス(四国地方)@\(^o^)/ 2015/06/29(月) 13:28:50.5

記事を読む

uvi-digital-synsations

人気ソフト・シンセ「Digital Synsations」(24000円)が無償配布中!1日限定

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 3aeb-3xCV) 20

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

PAGE TOP ↑