OpenSSLにおける暗号通信を解読可能な脆弱性、アップグレードを推奨(JVN)
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は9月10日、OpenSSLにおける暗号通信を解読可能な脆弱性(Raccoon Attack)について「Japan Vulnerability Notes(JVN)」で発表した。
脆弱性と脅威
セキュリティホール・脆弱性
OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン
想定される影響としては、中間者攻撃を行う第三者によって、暗号化された通信内容を解読される(Raccoon Attack)可能性がある。
JVNでは、OpenSSL 1.0.2はサポートが終了しているためOpenSSL 1.1.1へアップグレードすることを推奨している。また、開発者はOpenSSL 1.0.2のプレミアムサポートを契約したユーザに向けて本脆弱性を修正したOpenSSL 1.0.2wを提供している。あるいはランタイム設定で Diffie-Hellman 鍵交換を無効にするよう呼びかけている。
《ScanNetSecurity》