脆弱性が、バグが無くなるなんて思ってもいないけど、
ちょっと周期が早くないですかね。
IPA上では危険度は「警告」程度ですが
「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について
OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
「もし」の場合の危険度は結構高めなので、
またまた対応に追われるはめに。
今回、流石にHeartbleedの後なので各ベンダーも含め対応は早かったですね。
RedHatなんかは早々にチェックできるアプリを公開していました。
OpenSSL CCS インジェクションの脆弱性 (CVE-2014-0224) の警告
クライアント側、サーバ側で脆弱性のバージョンが違うため、
サーバ側は前回があったので対処は簡単でしたが、
クライアント側ということで面倒でしたね。
アプリケーションはサーバのOpenSSLライブラリを利用しているか?
アプリケーションで利用している言語の暗号化はどのような仕組か?
もう沢山だよ!
しかし、中間者攻撃MIMTとか、SSHの暗号化ってどうなってるの?
色々勉強にはなりました。
他参考サイト
CCS Injection Vulnerability
OpenSSL CCS Injection について
また、今回の問題で忘れ去られがちですが、下記問題も発生しています。
「GnuTLS」に新たな脆弱性、主要Linuxディストリビューションに影響
GnuTLSでTLS/SSLハンドシェイクのServer HelloパケットからのセッションIDを解析する方法に脆弱性があり、不正なサーバを使って過度に長いセッションIDを送り付けることにより、GnuTLS経由で接続しているTLS/SSLクライアントをバッファオーバーフロー状態に陥れ、クラッシュを誘発させたり任意のコードを実行したりできてしまう恐れがあるという。怪しいサイトにはアクセスしないよう心掛けるとともに、
今回の問題と一緒に対応しておきましょう。
Network Security with OpenSSL: Cryptography for Secure Communications
posted with amazlet at 14.06.14
O'Reilly Media (2009-02-09)
0 コメント:
コメントを投稿