WWW Watch

事前予告されていた OpenSSL のアップデートが公開されたので OpenSSL 1.0.2d を入れた件

OpenSSL において重要度 「高」 の脆弱性修正が適用されたバージョンのリリースが行われましたので、自分のサーバ環境にも適用した件について。

OpenSSL に関して、7月 9日に重要度 「高」 の脆弱性修正をリリースするよと事前に予告されていた件で、予告通り 9日 (米国時間) にこの脆弱性修正が適用されたバージョンのリリースが行われましたので、自分のサーバ環境にも適用しました。

This issue affects OpenSSL versions 1.0.2c, 1.0.2b, 1.0.1n and 1.0.1o.

OpenSSL 1.0.2b/1.0.2c users should upgrade to 1.0.2d
OpenSSL 1.0.1n/1.0.1o users should upgrade to 1.0.1p

This issue was reported to OpenSSL on 24th June 2015 by Adam Langley/David Benjamin (Google/BoringSSL). The fix was developed by the BoringSSL project.

OpenSSL Security Advisory [9 Jul 2015] から引用

ということで、影響を受けるのは 1.0.2c、1.0.2b、1.0.1n、1.0.1o の各バージョン。それ以前や、1.0.0 / 0.9.8 系には影響なしということ。

証明書チェーンの検索に失敗した場合に行われる代替証明書チェーンの検索ロジックに存在する脆弱性を利用することで、本来信頼できないリーフ証明書を CA 証明書に偽装して発行することができ、これにより中間者攻撃を受ける可能性があるとのこと。深刻度は高いですが、影響範囲は前述の通り広くはないという感じ。

影響を受けるバージョンを使用している場合は速やかにアップデートした方がよいでしょう。

関連リンク

今回の脆弱性 (CVE-2015-1793) の仕組みが下記の記事で解説されています。参考まで。

関連する話題

つい先日、この Blog を SSL 対応させたのですが、この OpenSSL のアップデートを行うついでに、保留していた HSTS (HTTP Strict Transport Security) を有効にしました。一般的なブラウザを使用している場合は https:// でしかアクセスできなくなっていると思います。

関連エントリー

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー