ウェブで広く普及しているオープンソースのセキュリティプログラム「OpenSSL」を管理するグループが、セキュリティ上の欠陥を修正する2つのパッチをリリースした。このパッチを適用することで、潜在的なDoS(サービス拒否)攻撃が阻止できるようになると、同グループの開発者が米国時間17日に語った。
これらの欠陥が影響を及ぼすのは、OpenSSLをインストールしたLinuxシステムだけではない。同ソフトウェアを組み込んだ多くのルータやネットワークデバイスにも障害を引き起こす恐れがある。Cisco Systemsが同日に発表した勧告によれば、同社のPIXファイアウォール機器や一部のルータでもこの影響を受ける可能性があるという。
OpenSSLは、暗号化技術SSL(Secure Sockets Layer)のオープンソース版として実装されたものだが、SSLはインターネット上でやり取りされるデータの安全性を確保する手段として、ほとんどすべてのウェブブラウザで使用されている。このソフトウェアは、インターネット上のウェブサーバの3分の2以上を占める、Apacheウェブサーバソフトを構成するコンポーネントの基盤ともなっている。
これらの欠陥によって、攻撃者がコンピュータやネットワーク機器を乗っ取る恐れはないが、ただし特別に作成したデータを使ってソフトウェアをクラッシュさせるという可能性はある。こうしたDoS攻撃を受けると、一般ユーザーがサーバへログインできなくなったり、管理者がネットワーク機器の管理を行えなくなる可能性がある。また、これらの欠陥を突かれたネットワーク機器がクラッシュし、より広範なネットワークの停止につながる場合があると、複数の勧告で指摘されている。
昨年11月に実施された調査によると、対象となったウェブサーバのほぼ半分で、最新のパッチがあたっていないOpenSSLが動いていたという。また、OpenSSLをベースにしたウェブサーバのコンポーネントの欠陥が原因で、2002年9月にはLinux Slapperというワームが広まったことがある。
なお、Red HatとNovellのSuSE Linuxは、いずれもOpenSSLを組み込んだLinuxシステムを出荷している。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス