OpenSSL、3つのセキュリティホール用パッチを公開

　信頼のおけるコミュニケーションを可能にするソフトウェアを管理しているあるオープンソースグループが、9月30日（米国時間）に、英国政府のテストで見つかった、いくつかの脆弱性を修正するパッチをリリースした。

　このセキュリティ上の欠陥は、OpenSSL Project版のsecure sockets layer（SSL）ソフトのなかに存在するもの。SSLソフトは、ウェブサイトとブラウザ間の通信を暗号化し、安全にデータをやりとりするのに使われている。見つかった欠陥のうち2つは、サービス拒否（DoS）攻撃につながる可能性があり、また3つめの欠陥は、攻撃者がネット経由でコンピュータシステムに侵入することを許してしまう。

　これらの欠陥は、英国政府がソフトウェアを厳しいテストにかけた際に見つかったと、OpenSSL Projectのセキュリティ開発チームで働く開発者、Mark Coxは説明している。

　「この欠陥を突いた事例はまだ耳にしていない。幸いなことに、いい人たちに見付けてもらえたということだ」（Cox）

　先月にソフトウェアのパッチを2度リリースしたOpenSSHプロジェクトと紛らわしいが（SSHはセキュアシェルの意味）、OpenSSLプロジェクトはSSLソフトウェアのオープンソースバージョンを開発・管理している。1年前、SlapperワームがLinuxの動作するコンピュータに感染したことがあったが、この時被害に遭ったのは、同じソフトウェアのなかにある別のセキュリティホールをふさぐパッチを充てていないＬｉｎｕｘマシンだった。

　　Coxによると、特別に作られたデジタル証明書は、2つの欠陥のどちらかを通じてOpenSSLソフトウェアをクラッシュさせ、DOSアタックを引き起こす可能性がある。いっぽう、3つめの欠陥は、オンラインでいたずらを働く者にサーバ攻撃を許し、あるいはワームの流行を可能にするセキュリティホールとなる。バージョン0.9.6jや0.9.7bに至るまで、OpenSSLの全バージョンがこの影響を受けるという。

　これまでに、米Red Hatや独SuSEを含む大部分のLinuxディストリビューターが、この欠陥を修正するパッチを公開している。また米Cisco Systemsもパッチを公開した。同社では、数多くの製品で同ソフトウェアを使用している。