シマンテックは7月10日、OpenSSLで新たな脆弱性が見つかったと、同社のセキュリティブログで明かした。

今回の脆弱性は、攻撃者がOpenSSLの脆弱性を悪用すると、偽のデジタル証明書を有効な証明書として受け入れるように標的のコンピューターを誘導し、セキュア通信を傍受できるようになるというもの。さらに、中間者(MTM)攻撃も実行できるという。

脆弱性は「Alternative Chains Certificate Forgery Vulnerability(代替チェーンによる証明書偽造の脆弱性)」と呼ばれているもので、OpenSSLにおける証明書の検証プロセスに深く関係している。

具体的には、SSL証明書はチェーンで発行され、ルート認証局(CA)から中間CAを経てエンドユーザーの証明書へとたどり着く。信頼できるCAによって発行された証明書かどうかを接続元デバイスで確認できない場合は、信頼できるCAが見つかるまで、もう1度チェーンを上にたどる。それでも確認されない場合は、エラーメッセージが返され、セキュア接続が拒否される。

チェーンの検証は、Webブラウザやメールサーバなど、SSL/TLSクライアント・ソフトウェアによって実行されるのが一般的だ。一部のWebサーバはクライアントの証明書を認証することによって、サイト訪問者を受け入れるように設定されている。こうしたWebサーバで、証明書チェーンの検証で使われるOpenSSLが該当のバージョンだった場合、今回の脆弱性の影響を受けることになる。

脆弱性の影響を受けるのはOpenSSLの一部のバージョンで、1.0.2c、1.0.2b、1.0.1n、1.0.1oが該当する。対策は最新版へのアップグレードとなっており、1.0.2bと1.0.2cの利用者は1.0.2dに、また、1.0.1nおよび1.0.1oの利用者は1.0.1pにバージョンアップする必要がある。


http://www.excite.co.jp/News/column_g/20150713/Cobs_237147.html



7:名無しさん@1周年 2015/07/13(月) 21:31:18.85 ID:jT79Xn4e0.net

おいおいまたかよ

大事件じゃないか

10:名無しさん@1周年 2015/07/13(月) 21:33:55.86 ID:3LDVotwQ0.net

去年ハードブリードで心臓手術したばかりだろw

18:名無しさん@1周年 2015/07/13(月) 21:39:43.06 ID:M/vd4dT80.net

またかよw

6:名無しさん@1周年 2015/07/13(月) 21:31:02.24 ID:mQ3C+aRi0.net

>>1
き、脆弱性

8:名無しさん@1周年 2015/07/13(月) 21:32:20.44 ID:Na5ansAK0.net

>>1
も、脆弱性

5:名無しさん@1周年 2015/07/13(月) 21:30:21.12 ID:4ThAFFX30.net

ネット通販とか利用してたらマズいの?

2:名無しさん@1周年 2015/07/13(月) 21:25:14.03 ID:zYSYtb050.net

ネットで動画と2Ch閲覧しかしてない俺に何か影響ありますか?お?

4:名無しさん@1周年 2015/07/13(月) 21:27:57.08 ID:mxqNrzht0.net

>>2
閲覧だけじゃなくて書き込んでるじゃないか

9:名無しさん@1周年 2015/07/13(月) 21:33:45.72 ID:ZRZv379c0.net

クライアント証明書なんてクソ面倒で誰も使ってないだろ

29:名無しさん@1周年 2015/07/13(月) 22:14:44.80 ID:rUnMzko/0.net

>>1
そのロジックだと、
端末側で対策しなければ意味ない気がするんだが。

42:名無しさん@1周年 2015/07/14(火) 02:03:32.39 ID:jbjh7U8v0.net

>>29
クライアントが送ってくる証明書の検証ロジックに脆弱性

21:名無しさん@1周年 2015/07/13(月) 21:53:27.98 ID:3LDVotwQ0.net

ま、このバグは危ないサイトも安全なサイトのふり出来るってだけだからね。心肺ない。

脆弱性利用して出来ることっていったら


銀行の振りしてメールだして
リンククリックさせて
アドレスバーに緑の証明済サイトのマークで安心させて
本物の口座で取引してるように勘違いさせて
嘘の取引で口座番号と暗証番号と第二第三暗証番号を盗聴されて
口座の金すっからかんにされる程度しか被害ないから。

23:名無しさん@1周年 2015/07/13(月) 21:57:05.64 ID:zYSYtb050.net

>>21
だめじゃん
ネットバンクやめるわ

25:名無しさん@1周年 2015/07/13(月) 22:02:28.51 ID:3LDVotwQ0.net

>>23
ポイントは本家が対策しても無駄ってとこかな。
とはいえ、詐欺サイトがそれっぽく見えるのに貢献するだけだから、注意深い奴は大丈夫だよ。
メール添付のexeとかクリックしちゃうようなアホの子は引っかかるかもね。

30:名無しさん@1周年 2015/07/13(月) 22:16:07.87 ID:3LDVotwQ0.net

本家サイトがきちんと対策するを前提なら偽装程度しかなさそうだけも
本家サイト側で対策遅れて脆弱性の正しい使い方でミドルマン攻撃されて被害だして恥かく会社がでてきてらアレだな
年金サイトとかまたやらかしそうで

24:名無しさん@1周年 2015/07/13(月) 22:00:23.71 ID:m8uXrtXs0.net

つかっているバージョンを確認するのにはどうしたらいいの?
% openssl -v
% openssl --help

とかじゃ表示もされないし。

27:名無しさん@1周年 2015/07/13(月) 22:05:14.30 ID:mxqNrzht0.net

>>24
openssl version

26:名無しさん@1周年 2015/07/13(月) 22:02:35.84 ID:Z1CEiaNa0.net

またかよ
陰謀論とか出てきてもおかしくないわー

対応するのたりー

44:名無しさん@1周年 2015/07/14(火) 07:13:47.70 ID:Ul0V1iA10.net

>>1
相変わらず…。

37:名無しさん@1周年 2015/07/13(月) 23:59:23.08 ID:rNor1wAP0.net

もー、またかよ。
また、糞客がアップデートを検討しろとか言ってきそうでウンザリ。
金くれない癖に、それくらい自分でやれよカスが。

明日になったら、また、めんどくせーメールのやり取りやってるんだろうな、俺。

38:名無しさん@1周年 2015/07/14(火) 00:59:58.38 ID:y5PzcMH/0.net

>>37
いや、先週金曜には対応終えとけよw

45:名無しさん@1周年 2015/07/14(火) 07:40:25.17 ID:gZQlhljU0.net

ああまたかと思ったが
うちクライアント証明書使ってないわ
よかった


元スレ:http://ai.2ch.sc/test/read.cgi/newsplus/1436790188/