OpenSSL に関して、7月 9日に重要度 「高」 の脆弱性修正をリリースするよと事前に予告されていた件で、予告通り 9日 (米国時間) にこの脆弱性修正が適用されたバージョンのリリースが行われましたので、自分のサーバ環境にも適用しました。
This issue affects OpenSSL versions 1.0.2c, 1.0.2b, 1.0.1n and 1.0.1o.
OpenSSL 1.0.2b/1.0.2c users should upgrade to 1.0.2d
OpenSSL 1.0.1n/1.0.1o users should upgrade to 1.0.1pThis issue was reported to OpenSSL on 24th June 2015 by Adam Langley/David Benjamin (Google/BoringSSL). The fix was developed by the BoringSSL project.
ということで、影響を受けるのは 1.0.2c、1.0.2b、1.0.1n、1.0.1o の各バージョン。それ以前や、1.0.0 / 0.9.8 系には影響なしということ。
証明書チェーンの検索に失敗した場合に行われる代替証明書チェーンの検索ロジックに存在する脆弱性を利用することで、本来信頼できないリーフ証明書を CA 証明書に偽装して発行することができ、これにより中間者攻撃を受ける可能性があるとのこと。深刻度は高いですが、影響範囲は前述の通り広くはないという感じ。
影響を受けるバージョンを使用している場合は速やかにアップデートした方がよいでしょう。
関連リンク
今回の脆弱性 (CVE-2015-1793) の仕組みが下記の記事で解説されています。参考まで。
関連する話題
つい先日、この Blog を SSL 対応させたのですが、この OpenSSL のアップデートを行うついでに、保留していた HSTS (HTTP Strict Transport Security) を有効にしました。一般的なブラウザを使用している場合は https:// でしかアクセスできなくなっていると思います。
