OpenSSLに新たな脆弱性、セキュア通信を傍受されるおそれ – Symantec

公開日: : 最終更新日:2015/07/30 NEWS , , , ,

1: ひろし ★ 2015/07/13(月) 21:23:08.92 ID:???*.net

シマンテックは7月10日、OpenSSLで新たな脆弱性が見つかったと、同社のセキュリティブログで明かした。

今回の脆弱性は、攻撃者がOpenSSLの脆弱性を悪用すると、偽のデジタル証明書を有効な
証明書として受け入れるように標的のコンピューターを誘導し、セキュア通信を傍受できるようになるというもの。
さらに、中間者(MTM)攻撃も実行できるという。

そもそもOpenSSLは、暗号プロトコル SSLとTLSにおいて普及率が高いオープンソース実装。
インターネットに接続するデバイスで広く使われており、特にWebサーバでは特に普及率が高く、全体の3分の2程度がOpenSSLを利用している。

脆弱性は「Alternative Chains Certificate Forgery Vulnerability(代替チェーンによる証明書偽造の脆弱性)」と
呼ばれているもので、OpenSSLにおける証明書の検証プロセスに深く関係している。

具体的には、SSL証明書はチェーンで発行され、ルート認証局(CA)から中間CAを経てエンドユーザーの証明書へとたどり着く。
信頼できるCAによって発行された証明書かどうかを接続元デバイスで確認できない場合は、
信頼できるCAが見つかるまで、もう1度チェーンを上にたどる。それでも確認されない場合は、エラーメッセージが返され、セキュア接続が拒否される。

チェーンの検証は、Webブラウザやメールサーバなど、SSL/TLSクライアント・ソフトウェアによって実行されるのが一般的だ。
一部のWebサーバはクライアントの証明書を認証することによって、サイト訪問者を受け入れるように設定されている。
こうしたWebサーバで、証明書チェーンの検証で使われるOpenSSLが該当のバージョンだった場合、今回の脆弱性の影響を受けることになる。

脆弱性の影響を受けるのはOpenSSLの一部のバージョンで、1.0.2c、1.0.2b、1.0.1n、1.0.1oが該当する。
対策は最新版へのアップグレードとなっており、1.0.2bと1.0.2cの利用者は1.0.2dに、
また、1.0.1nおよび1.0.1oの利用者は1.0.1pにバージョンアップする必要がある。
さらに、OpenSSLプロジェクトが公開するセキュリティ更新プログラムを適用する。

一方で、サイト訪問者を認証しないサーバ、またはパスワードなど他の手段で
サイト認証者を認証するサーバは、該当するOpenSSLを使っていても影響を受けないという。

http://www.excite.co.jp/News/column_g/20150713/Cobs_237147.html

2: 名無しさん@1周年 2015/07/13(月) 21:25:14.03 ID:zYSYtb050.net
ネットでエ□動画と2Ch閲覧しかしてない俺に何か影響ありますか?お?

 

4: 名無しさん@1周年 2015/07/13(月) 21:27:57.08 ID:mxqNrzht0.net
>>2
閲覧だけじゃなくて書き込んでるじゃないか

スポンサーリンク

12: 名無しさん@1周年 2015/07/13(月) 21:34:45.89 ID:zYSYtb050.net
>>4
もしかして俺に成りすまして「ち○こ!」とか書き込まれたりする危険性があるってこと?

 

11: 名無しさん@1周年 2015/07/13(月) 21:34:35.84 ID:sPuPeFuO0.net
>>2
いつものお気に入りのエ□動画サイトの画面見ながらシコシコしてたら、
実は、ホ○専用のライブ動画サイトに繋がって、鑑賞される側になっていた

 

9: 名無しさん@1周年 2015/07/13(月) 21:33:45.72 ID:ZRZv379c0.net
クライアント証明書なんてクソ面倒で誰も使ってないだろ

 

14: 名無しさん@1周年 2015/07/13(月) 21:35:38.88 ID:0gPB/Cgo0.net
で、これがセブンATMの認証に使われてたというオチかい?

 

21: 名無しさん@1周年 2015/07/13(月) 21:53:27.98 ID:3LDVotwQ0.net

ま、このバグは危ないサイトも安全なサイトのふり出来るってだけだからね。心肺ない。

脆弱性利用して出来ることっていったら
銀行の振りしてメールだして
リンククリックさせて
アドレスバーに緑の証明済サイトのマークで安心させて
本物の口座で取引してるように勘違いさせて
嘘の取引で口座番号と暗証番号と第二第三暗証番号を盗聴されて
口座の金すっからかんにされる程度しか被害ないから。

 

23: 名無しさん@1周年 2015/07/13(月) 21:57:05.64 ID:zYSYtb050.net
>>21
だめじゃん
ネットバンクやめるわ

 

25: 名無しさん@1周年 2015/07/13(月) 22:02:28.51 ID:3LDVotwQ0.net
>>23
ポイントは本家が対策しても無駄ってとこかな。
とはいえ、詐欺サイトがそれっぽく見えるのに貢献するだけだから、注意深い奴は大丈夫だよ。
メール添付のexeとかクリックしちゃうようなアホの子は引っかかるかもね。

 

24: 名無しさん@1周年 2015/07/13(月) 22:00:23.71 ID:m8uXrtXs0.net

つかっているバージョンを確認するのにはどうしたらいいの?
% openssl -v
% openssl –help

とかじゃ表示もされないし。

 

27: 名無しさん@1周年 2015/07/13(月) 22:05:14.30 ID:mxqNrzht0.net
>>24
openssl version

 

43: 名無しさん@1周年 2015/07/14(火) 02:10:51.17 ID:cKTRJ9N30.net

>>24
# su –
# rpm -ef openss*

これで文句なし

 

29: 名無しさん@1周年 2015/07/13(月) 22:14:44.80 ID:rUnMzko/0.net
>>1
そのロジックだと、
端末側で対策しなければ意味ない気がするんだが。

 

42: 名無しさん@1周年 2015/07/14(火) 02:03:32.39 ID:jbjh7U8v0.net
>>29
クライアントが送ってくる証明書の検証ロジックに脆弱性

 

30: 名無しさん@1周年 2015/07/13(月) 22:16:07.87 ID:3LDVotwQ0.net
本家サイトがきちんと対策するを前提なら偽装程度しかなさそうだけも
本家サイト側で対策遅れて脆弱性の正しい使い方でミドルマン攻撃されて被害だして恥かく会社がでてきてらアレだな
年金サイトとかまたやらかしそうで

 

34: 名無しさん@1周年 2015/07/13(月) 22:42:30.81 ID:bGWfI5f50.net
うちはIISだから問題無し
英語も出来ない奴がApacheを使うと結局割高になりがちなんだよなぁ

 

39: 名無しさん@1周年 2015/07/14(火) 01:01:55.72 ID:W1FJeQjg0.net
>>34
えーっと。。。どこからツッコんで良いのやら。

 

41: 名無しさん@1周年 2015/07/14(火) 01:09:17.19 ID:y5PzcMH/0.net
>>39
突っ込む必要ないだろ?
CVE-2015-1793はIISかんけーし

 

37: 名無しさん@1周年 2015/07/13(月) 23:59:23.08 ID:rNor1wAP0.net

もー、またかよ。
また、糞客がアップデートを検討しろとか言ってきそうでウンザリ。
金くれない癖に、それくらい自分でやれよカスが。

明日になったら、また、めんどくせーメールのやり取りやってるんだろうな、俺。

 

38: 名無しさん@1周年 2015/07/14(火) 00:59:58.38 ID:y5PzcMH/0.net
>>37
いや、先週金曜には対応終えとけよw

 

40: 名無しさん@1周年 2015/07/14(火) 01:08:26.96 ID:xj6ykZnx0.net
最近、AmazonとかのSSLページで、
しょっちゅう新しい認証機関を受け入れさせようとウザくダイアログが出てくるけど、
怪しいと思って全て受け入れてなかったけど、
あれも貧弱性を狙った攻撃なのか

スポンサーリンク

45: 名無しさん@1周年 2015/07/14(火) 07:40:25.17 ID:gZQlhljU0.net
ああまたかと思ったが
うちクライアント証明書使ってないわ
よかった

引用元URL:http://ai.2ch.sc/test/read.cgi/newsplus/1436790188/

関連記事

https---www.pakutaso.com-assets_c-2015-06-Green11_kessai20141123152655-thumb-1000xauto-17845

人月商売や多重下請けを続けた結果日本はIT後進国なちゃったわけだけどこれから現場はどうすんの?

1: イス攻撃(宮城県)@\(^o^)/ 2015/06/20(土) 18:13:39.46 I

記事を読む

miranda-bookstack-horiz._V189854584_

米Amazon、極秘裏に2年間充電不要のKindle作っている

1: ランサルセ(東日本)@\(^o^)/ 2015/09/13(日) 14:08:36.75

記事を読む

2015-09-08_0627

Amazon、50ドルの市場最安タブレット端末を計画

1: 海江田三郎 ★ 2015/09/09(水) 10:02:56.92 ID:???.net

記事を読む

スクリーンショット 2014-04-19 14.23.28

【経済】書籍割引販売のAmazon、中小出版社から出荷を止められる…再販制度遵守求め

1: それなり◆XonGXAywZYD. 2014/04/18(金)10:30:00 ID:90f

記事を読む

h1_sonylogo_x2

苦闘5年でソニー復活か!? 瀕死の東芝に手を差し伸べる余裕も

1: 海江田三郎 ★ 2015/11/15(日) 21:55:45.63 ID:???.net

記事を読む

ah_cam2

不正ソフトを使い、PC乗っ取りwebカメラで私生活を覗き見

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 1304-1UxN) 20

記事を読む

a01

大画面「iPad Pro」発売は見送りの可能性も タブレット需要低迷で

1: 海江田三郎 ★ 2015/08/16(日) 14:06:41.72 ID:???.net

記事を読む

wpid-upUp2zD.png

Xperia Z4は発熱問題改善のSnapdragon 810 v2.1を搭載していないことが判明

1: タイガードライバー(栃木県)@\(^o^)/ 2015/06/10(水) 13:20:59

記事を読む

flash_player_10_mnemonic_no_shadow3

Adobe、「Flash Player」の重大な脆弱性を修正する緊急アップデートを公開 既に各国への外務省攻撃に利用される

1: 日本茶 ★ 2015/10/19(月) 14:46:35.01 ID:???*.net

記事を読む

pic01

Googleが太陽光発電設置時の損得を算出するサービスを開始。エネルギー業界参入の前兆か ?

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ d03d-BQiS) 20

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

PAGE TOP ↑