Ars Technica

Ars Technicaに掲載された記事「Critical crypto bug leaves Linux, hundreds of apps open to eavesdropping」がGnuTLSのセキュリティ脆弱性を取り上げ、このセキュリティ脆弱性を利用されると不正なX.509証明書を利用してSSL/TLSの通信内容を傍受するシステムを構築される危険性があることを伝えた。

GnuTLS 3.2.12よりも前のバージョンまたはGnuTLS 3.1.22よりも前のバージョンにはX.509証明書の処理に問題があり、特定の細工されたX.509証明書を使われるとそれが不正な証明書であっても処理が通ってしまうという。これを利用されると不正に作成したX.509証明書を使って正規のサイトや正規のサービスのように見せかけることで、アクセスしてくるユーザの通信内容を盗聴することが可能になる。

問題となるコードは2005年には存在していたと説明があり、8年ほどこのセキュリティ脆弱性が存在していたことになる。ユーザは信用のおけないサイトは訪れない、セキュリティソフトウェアを活用する、ソフトウェアを常に最新の状態にする、身に覚えのないファイルは開かないなど、これまで脅威に対して取るべき対策として推奨されていることを実施し、こうした未知の脆弱性に対して対策を取っていくことが望まれる。