質問

Advanced Search

Alert ID : ALERT817

Last Modified : 06/04/2018

セキュリティに関するお知らせOpen SSLの脆弱性について

Description

2003年10月28日掲載

概要

Secure Socket Layer(SSL)とTransport Layer Security(TLS)プロトコルの実装においていくつかの脆弱性が発見されました。これらの脆弱性は、主にASN.1(Abstract Syntax Notation One)と呼ばれる解析コードが原因で、リモート攻撃によるサーバへのサービス妨害(DoS)攻撃や任意のコードの実行を可能にするものです。特に、オー プンソースのSSLツールキットであるOpenSSL(http://www.openssl.org)においてこれらの攻撃に対し脆弱性があることが発見されています。 弊社では、サーバID申請サイトをお客様により使いやすくご利用いただくためにシステム改修を実施し、2004年11月22日よりウェブサイトのリニューアルをさせていただくこととなりました。
サーバID申請サイトに新たな機能が追加されることに伴い、申請システムと登録方法が変更になります。

この情報の対象となるお客様

OpenSSLを使用したSSL/TLSによるウェブサーバ、またはサービスを利用しているお客様。

脆弱性による影響

OpenSSLのライブラリに4種類の脆弱性が発見されています。そのうち3種類はサービス妨害(DoS)攻撃を可能にし、1種類は攻撃者が特定の 状態において悪意のあるコードを実行することを可能にします。これらの攻撃は、悪意のある者により、一般的なクライアント証明書もしくはサーバ証明書のい ずれかに対して特定のASN.1エンコーディングを使用することにより実行することを可能にします。

ベリサインのセキュア・サーバIDとグローバル・サーバIDは、X.509標準にて指定されたASN.1エンコーディング規定に準拠しており、この脆弱性の影響を受けることはなく、前述の攻撃のために使用されることはありません。

しかしながら、OpenSSLベースのSSL/TLS Webサーバを利用しているお客様は、OpenSSLのSSL/TSLのプロトコル処理における不具合により、特にクライアント証明書を要求していない場 合でも、サーバの設定によってはクライアント証明書を受け取ってしまうことがあることをに留意する必要があります。ベリサインのSSL証明書はこの脆弱性 の影響を受けませんが、該当するOpenSSLを使用するすべてのSSL/TLSサーバは、たとえウェブサーバがクライアント認証の設定が無効でも攻撃さ れる可能性があります。

深刻度

推奨

ベリサインではOpenSSLを使用しているシステム管理者様に対して、OpenSSL 0.9.7c もしくは 0.9.6k にアップグレードすることを推奨します。

影響を受けるソフトウェア

信頼できないデータを解析するためOpenSSLのASN.1ライブラリを使用するアプリケーションを含む、OpenSSL 0.9.6j と 0.9.7bまでのバージョンを使用するすべてのソフトウェア。これは、S/MIME(PKCS#7)または証明書生成ルーチンを使用するすべてのSSL またはTLSアプリケーションを含みます。

お客様のSSL/TLSサーバがこれらの攻撃に対して脆弱性を持つかどうかを確認するには、サーバベンダにお問い合わせいただくか、Carnegie Mellon Universityのウェブサイト Vulnerability Note VU#104280 Multiple vulnerabilities in SSL/TLS implementations掲載のリスト(英文)をご参照ください。

その他の情報

詳細情報については、以下をご参照ください。(英文)

この資料は米国ベリサインから提供されている文書をもとに翻訳したものです。

 

免責事項:
ベリサインは本サイト上で掲示する情報およびデータを正確かつ最新なものとするために、合理的な手段を講じています。しかしなが ら、ベリサインはこれらの情報やデータについて明示であると黙示であるとを問わず一切の保証をいたしません。また、本サイトにより提供される情報または データを信用し、本サイトおよび本サイト上のコンテンツにアクセスしこれらを利用する者に対し、一切の法的責任を否認することをここに明らかにします。