OpenSSLのセキュリティパッチがリリース

　ウェブで広く普及しているオープンソースのセキュリティプログラム「OpenSSL」を管理するグループが、セキュリティ上の欠陥を修正する2つのパッチをリリースした。このパッチを適用することで、潜在的なDoS（サービス拒否）攻撃が阻止できるようになると、同グループの開発者が米国時間17日に語った。

　これらの欠陥が影響を及ぼすのは、OpenSSLをインストールしたLinuxシステムだけではない。同ソフトウェアを組み込んだ多くのルータやネットワークデバイスにも障害を引き起こす恐れがある。Cisco Systemsが同日に発表した勧告によれば、同社のPIXファイアウォール機器や一部のルータでもこの影響を受ける可能性があるという。

　OpenSSLは、暗号化技術SSL（Secure Sockets Layer）のオープンソース版として実装されたものだが、SSLはインターネット上でやり取りされるデータの安全性を確保する手段として、ほとんどすべてのウェブブラウザで使用されている。このソフトウェアは、インターネット上のウェブサーバの3分の2以上を占める、Apacheウェブサーバソフトを構成するコンポーネントの基盤ともなっている。

　これらの欠陥によって、攻撃者がコンピュータやネットワーク機器を乗っ取る恐れはないが、ただし特別に作成したデータを使ってソフトウェアをクラッシュさせるという可能性はある。こうしたDoS攻撃を受けると、一般ユーザーがサーバへログインできなくなったり、管理者がネットワーク機器の管理を行えなくなる可能性がある。また、これらの欠陥を突かれたネットワーク機器がクラッシュし、より広範なネットワークの停止につながる場合があると、複数の勧告で指摘されている。

　昨年11月に実施された調査によると、対象となったウェブサーバのほぼ半分で、最新のパッチがあたっていないOpenSSLが動いていたという。また、OpenSSLをベースにしたウェブサーバのコンポーネントの欠陥が原因で、2002年9月にはLinux Slapperというワームが広まったことがある。

　なお、Red HatとNovellのSuSE Linuxは、いずれもOpenSSLを組み込んだLinuxシステムを出荷している。