「OpenSSL」に新たな脆弱性、中間者攻撃により漏えいや改ざんの可能性(IPA) | ScanNetSecurity
2026.01.23(金)

「OpenSSL」に新たな脆弱性、中間者攻撃により漏えいや改ざんの可能性(IPA)

IPAは、「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について注意喚起を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
136 views
facebookLINE
今回の脆弱性の概要
今回の脆弱性の概要 全 1 枚 拡大写真
独立行政法人 情報処理推進機構(IPA)は6月6日、「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について注意喚起を発表した。これは、オープンソースの暗号通信ライブラリである「OpenSSL」において、初期 SSL/TLS ハンドシェイクにおける Change Cipher Spec メッセージの処理に脆弱性(CVE-2014-0224)が発見されたというもの。CVE-2014-0160(Heartbleed)とは異なる脆弱性となる。

本来、SSL/TLS による暗号通信では、利用者とWebサイトの通信経路上に攻撃者が割り込み、通信内容を盗聴したり改ざんしようとする攻撃(中間者攻撃)を防ぐことができる。しかし、この脆弱性を悪用されると、中間者攻撃を防ぐことができず、暗号通信の内容が漏えいしたり、改ざんされる可能性がある。

本脆弱性の影響を受けるのは、以下の組み合わせの場合となる。
サーバ側:
・OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前

クライアント側:
・OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
・OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
・OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前

なお本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、株式会社レピダムの菊池正史氏からIPAが届出を受け、JPCERT/CCが製品開発者と調整を行い公表したものとなる。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/

特集

関連リンク

PageTop

アクセスランキング

  1. Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

    Linux カーネルでの TLS プロトコル通信処理の不備に起因する境界外メモリアクセスの脆弱性(Scan Tech Report)

  2. 大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

    大崎市が情報公開により提供した PDF ファイルの黒塗り加工が特定の操作で除去可能

  3. 関西総合システムにランサムウェア攻撃、クラウドサービスへの影響はなし

    関西総合システムにランサムウェア攻撃、クラウドサービスへの影響はなし

  4. 大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

    大企業の 66.8 %がセキュリティ不備を理由に取引停止や契約更新を見送る しかし取引停止された中小企業は景気悪化等が理由と誤認識

  5. デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

    デンソーグループ内全従業員に Microsoft SharePoint Online 内のデータの閲覧・ダウンロード権限付与

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP