OpenSSLに新たな脆弱性、セキュア通信を傍受されるおそれ – Symantec

公開日: : 最終更新日:2015/07/30 NEWS , , , ,

1: ひろし ★ 2015/07/13(月) 21:23:08.92 ID:???*.net

シマンテックは7月10日、OpenSSLで新たな脆弱性が見つかったと、同社のセキュリティブログで明かした。

今回の脆弱性は、攻撃者がOpenSSLの脆弱性を悪用すると、偽のデジタル証明書を有効な
証明書として受け入れるように標的のコンピューターを誘導し、セキュア通信を傍受できるようになるというもの。
さらに、中間者(MTM)攻撃も実行できるという。

そもそもOpenSSLは、暗号プロトコル SSLとTLSにおいて普及率が高いオープンソース実装。
インターネットに接続するデバイスで広く使われており、特にWebサーバでは特に普及率が高く、全体の3分の2程度がOpenSSLを利用している。

脆弱性は「Alternative Chains Certificate Forgery Vulnerability(代替チェーンによる証明書偽造の脆弱性)」と
呼ばれているもので、OpenSSLにおける証明書の検証プロセスに深く関係している。

具体的には、SSL証明書はチェーンで発行され、ルート認証局(CA)から中間CAを経てエンドユーザーの証明書へとたどり着く。
信頼できるCAによって発行された証明書かどうかを接続元デバイスで確認できない場合は、
信頼できるCAが見つかるまで、もう1度チェーンを上にたどる。それでも確認されない場合は、エラーメッセージが返され、セキュア接続が拒否される。

チェーンの検証は、Webブラウザやメールサーバなど、SSL/TLSクライアント・ソフトウェアによって実行されるのが一般的だ。
一部のWebサーバはクライアントの証明書を認証することによって、サイト訪問者を受け入れるように設定されている。
こうしたWebサーバで、証明書チェーンの検証で使われるOpenSSLが該当のバージョンだった場合、今回の脆弱性の影響を受けることになる。

脆弱性の影響を受けるのはOpenSSLの一部のバージョンで、1.0.2c、1.0.2b、1.0.1n、1.0.1oが該当する。
対策は最新版へのアップグレードとなっており、1.0.2bと1.0.2cの利用者は1.0.2dに、
また、1.0.1nおよび1.0.1oの利用者は1.0.1pにバージョンアップする必要がある。
さらに、OpenSSLプロジェクトが公開するセキュリティ更新プログラムを適用する。

一方で、サイト訪問者を認証しないサーバ、またはパスワードなど他の手段で
サイト認証者を認証するサーバは、該当するOpenSSLを使っていても影響を受けないという。

http://www.excite.co.jp/News/column_g/20150713/Cobs_237147.html

2: 名無しさん@1周年 2015/07/13(月) 21:25:14.03 ID:zYSYtb050.net
ネットでエ□動画と2Ch閲覧しかしてない俺に何か影響ありますか?お?

 

4: 名無しさん@1周年 2015/07/13(月) 21:27:57.08 ID:mxqNrzht0.net
>>2
閲覧だけじゃなくて書き込んでるじゃないか

スポンサーリンク

12: 名無しさん@1周年 2015/07/13(月) 21:34:45.89 ID:zYSYtb050.net
>>4
もしかして俺に成りすまして「ち○こ!」とか書き込まれたりする危険性があるってこと?

 

11: 名無しさん@1周年 2015/07/13(月) 21:34:35.84 ID:sPuPeFuO0.net
>>2
いつものお気に入りのエ□動画サイトの画面見ながらシコシコしてたら、
実は、ホ○専用のライブ動画サイトに繋がって、鑑賞される側になっていた

 

9: 名無しさん@1周年 2015/07/13(月) 21:33:45.72 ID:ZRZv379c0.net
クライアント証明書なんてクソ面倒で誰も使ってないだろ

 

14: 名無しさん@1周年 2015/07/13(月) 21:35:38.88 ID:0gPB/Cgo0.net
で、これがセブンATMの認証に使われてたというオチかい?

 

21: 名無しさん@1周年 2015/07/13(月) 21:53:27.98 ID:3LDVotwQ0.net

ま、このバグは危ないサイトも安全なサイトのふり出来るってだけだからね。心肺ない。

脆弱性利用して出来ることっていったら
銀行の振りしてメールだして
リンククリックさせて
アドレスバーに緑の証明済サイトのマークで安心させて
本物の口座で取引してるように勘違いさせて
嘘の取引で口座番号と暗証番号と第二第三暗証番号を盗聴されて
口座の金すっからかんにされる程度しか被害ないから。

 

23: 名無しさん@1周年 2015/07/13(月) 21:57:05.64 ID:zYSYtb050.net
>>21
だめじゃん
ネットバンクやめるわ

 

25: 名無しさん@1周年 2015/07/13(月) 22:02:28.51 ID:3LDVotwQ0.net
>>23
ポイントは本家が対策しても無駄ってとこかな。
とはいえ、詐欺サイトがそれっぽく見えるのに貢献するだけだから、注意深い奴は大丈夫だよ。
メール添付のexeとかクリックしちゃうようなアホの子は引っかかるかもね。

 

24: 名無しさん@1周年 2015/07/13(月) 22:00:23.71 ID:m8uXrtXs0.net

つかっているバージョンを確認するのにはどうしたらいいの?
% openssl -v
% openssl –help

とかじゃ表示もされないし。

 

27: 名無しさん@1周年 2015/07/13(月) 22:05:14.30 ID:mxqNrzht0.net
>>24
openssl version

 

43: 名無しさん@1周年 2015/07/14(火) 02:10:51.17 ID:cKTRJ9N30.net

>>24
# su –
# rpm -ef openss*

これで文句なし

 

29: 名無しさん@1周年 2015/07/13(月) 22:14:44.80 ID:rUnMzko/0.net
>>1
そのロジックだと、
端末側で対策しなければ意味ない気がするんだが。

 

42: 名無しさん@1周年 2015/07/14(火) 02:03:32.39 ID:jbjh7U8v0.net
>>29
クライアントが送ってくる証明書の検証ロジックに脆弱性

 

30: 名無しさん@1周年 2015/07/13(月) 22:16:07.87 ID:3LDVotwQ0.net
本家サイトがきちんと対策するを前提なら偽装程度しかなさそうだけも
本家サイト側で対策遅れて脆弱性の正しい使い方でミドルマン攻撃されて被害だして恥かく会社がでてきてらアレだな
年金サイトとかまたやらかしそうで

 

34: 名無しさん@1周年 2015/07/13(月) 22:42:30.81 ID:bGWfI5f50.net
うちはIISだから問題無し
英語も出来ない奴がApacheを使うと結局割高になりがちなんだよなぁ

 

39: 名無しさん@1周年 2015/07/14(火) 01:01:55.72 ID:W1FJeQjg0.net
>>34
えーっと。。。どこからツッコんで良いのやら。

 

41: 名無しさん@1周年 2015/07/14(火) 01:09:17.19 ID:y5PzcMH/0.net
>>39
突っ込む必要ないだろ?
CVE-2015-1793はIISかんけーし

 

37: 名無しさん@1周年 2015/07/13(月) 23:59:23.08 ID:rNor1wAP0.net

もー、またかよ。
また、糞客がアップデートを検討しろとか言ってきそうでウンザリ。
金くれない癖に、それくらい自分でやれよカスが。

明日になったら、また、めんどくせーメールのやり取りやってるんだろうな、俺。

 

38: 名無しさん@1周年 2015/07/14(火) 00:59:58.38 ID:y5PzcMH/0.net
>>37
いや、先週金曜には対応終えとけよw

 

40: 名無しさん@1周年 2015/07/14(火) 01:08:26.96 ID:xj6ykZnx0.net
最近、AmazonとかのSSLページで、
しょっちゅう新しい認証機関を受け入れさせようとウザくダイアログが出てくるけど、
怪しいと思って全て受け入れてなかったけど、
あれも貧弱性を狙った攻撃なのか

スポンサーリンク

45: 名無しさん@1周年 2015/07/14(火) 07:40:25.17 ID:gZQlhljU0.net
ああまたかと思ったが
うちクライアント証明書使ってないわ
よかった

引用元URL:http://ai.2ch.sc/test/read.cgi/newsplus/1436790188/

関連記事

SKeu6ER

Xperia、HTC、Motorola、Nokia←スマホを売れば売るほど赤字と判明

1: ストレッチプラム(千葉県)@\(^o^)/ 2015/09/05(土) 06:26:45.

記事を読む

yjnews

4年前のyahooトップ貼っていく

1: 風吹けば名無し@\(^o^)/ 2015/10/27(火) 17:13:10.95 ID:n

記事を読む

bsOOK3S0420140125180412

オブジェクト指向はデスマーチの温床だから今すぐ止めろ!! プロパティでメソッドの挙動が変わるとかキチガイだろ。

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アークセーT Sx8d-Q1kw) 2

記事を読む

004_px400

格安SIMが使える「SIMフリーiPhone 6s」を確実に入手する方法

1: (`・ω・´)m9 (アウアウT Sa19-UxBS) 2015/09/18(金) 22:0

記事を読む

casio_watch

ナウでヤングな、カシオの80年代風スマートウォッチの評判が良いらしい

1: 海江田三郎 ★ 2015/07/05(日) 11:24:13.44 ID:???.net

記事を読む

tor_clickfraud-680x400

匿名化ネットワーク「Tor」、FBIが傍受していた事が判明 技術開発の研究者には100万ドル支払われていた

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ワッチョイ 6274-RZjy) 20

記事を読む

2000px-IBM_logo.svg

IBM、一部製品のソースコード開示で中国政府と合意か

1: 海江田三郎 ★ 2015/10/19(月) 18:12:54.56 ID:???.net

記事を読む

l_mm_consent04

【ピュア界に朗報】コンセントプレートを変えて音質が向上→正直コレもう分かんねえよなw

1: ウエスタンラリアット(大阪府)@\(^o^)/ 2015/07/25(土) 10:34:0

記事を読む

20150725ark_370x286

DSP版Windows 10が発売、PCパーツとの抱き合わせのみで、単体購入は不可

1: 海江田三郎 ★ 2015/08/01(土) 11:22:56.33 ID:???.net

記事を読む

WY3G1ya

【福井県】雄島行って来たから写真うpする

1: 以下、\(^o^)/でVIPがお送りします 2015/10/13(火) 14:55:38.1

記事を読む

Huawei-Mate-8-benchmark-post-launch_1
Androidのベンチマーク、10万点を突破 インフレが止まらない

1: 番組の途中ですがアフィサイトへの\(^o^)/です (ニククエ

hGJvbfh
せっかくの休みだ。原付で>>5に行く。

1: 名無しさん@おーぷん 2015/11/29(日)06:13:2

9xHNnte
XperiaZ5からdocomoのロゴだけ消せるシートが発売開始

1: 番組の途中ですがアフィサイトへの\(^o^)/です (アウアウ

bsLISA78_MBAsawaru20141018102912
子供にプログラミング教えることになりそうなんだが、どうやって教えたら良いんだ?

1: 以下、\(^o^)/でVIPがお送りします 2015/11/2

top
国内で最大容量の8THDDが2万円台に値下がり

1: 海江田三郎 ★ 2015/11/29(日) 14:43:35.

→もっと見る

PAGE TOP ↑