OpenSSLのセキュリティパッチがリリース

Robert Lemos (CNET News.com)2004年03月18日 14時09分
  • このエントリーをはてなブックマークに追加

 ウェブで広く普及しているオープンソースのセキュリティプログラム「OpenSSL」を管理するグループが、セキュリティ上の欠陥を修正する2つのパッチをリリースした。このパッチを適用することで、潜在的なDoS(サービス拒否)攻撃が阻止できるようになると、同グループの開発者が米国時間17日に語った。

 これらの欠陥が影響を及ぼすのは、OpenSSLをインストールしたLinuxシステムだけではない。同ソフトウェアを組み込んだ多くのルータやネットワークデバイスにも障害を引き起こす恐れがある。Cisco Systemsが同日に発表した勧告によれば、同社のPIXファイアウォール機器や一部のルータでもこの影響を受ける可能性があるという。

 OpenSSLは、暗号化技術SSL(Secure Sockets Layer)のオープンソース版として実装されたものだが、SSLはインターネット上でやり取りされるデータの安全性を確保する手段として、ほとんどすべてのウェブブラウザで使用されている。このソフトウェアは、インターネット上のウェブサーバの3分の2以上を占める、Apacheウェブサーバソフトを構成するコンポーネントの基盤ともなっている。

 これらの欠陥によって、攻撃者がコンピュータやネットワーク機器を乗っ取る恐れはないが、ただし特別に作成したデータを使ってソフトウェアをクラッシュさせるという可能性はある。こうしたDoS攻撃を受けると、一般ユーザーがサーバへログインできなくなったり、管理者がネットワーク機器の管理を行えなくなる可能性がある。また、これらの欠陥を突かれたネットワーク機器がクラッシュし、より広範なネットワークの停止につながる場合があると、複数の勧告で指摘されている。

 昨年11月に実施された調査によると、対象となったウェブサーバのほぼ半分で、最新のパッチがあたっていないOpenSSLが動いていたという。また、OpenSSLをベースにしたウェブサーバのコンポーネントの欠陥が原因で、2002年9月にはLinux Slapperというワームが広まったことがある。

 なお、Red HatとNovellのSuSE Linuxは、いずれもOpenSSLを組み込んだLinuxシステムを出荷している。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向け に編集したものです。

  • このエントリーをはてなブックマークに追加