OpenSSLの脆弱性「DROWN」、LibreSSLは影響なし

LibreSSL is a version of the TLS/crypto stack forked from OpenSSL

3月1日(オランダ時間)、OpenBSD journalに掲載された記事「LibreSSL not affected by DROWN attack」が、LibreSSLは同日公開されたOpenSSLの脆弱性「CVE-2016-0800: Cross-protocol attack on TLS using SSLv2」(通称:DROWN)の影響を受けないと伝えた。LibreSSLからはすでに該当するコードが削除されている。

また同記事は、同日に公開されたOpenSSLの脆弱性のうち「CVE-2016-0702: Side channel attack on modular exponentiation」(通称:CacheBleed)に関してはLibreSSLも多少の影響を受けるとしている。ただし、CacheBleedの影響はローカルに限定されるほか、LibreSSLの開発元であるOpenBSDにおいてはさまざまなセキュリティ機能が動作するためCacheBleedを悪用することは難しいだろうと指摘している。

OpenSSLプロジェクトは3月1日(協定世界時)に脆弱性を修正したバージョンをリリースすると事前にアナウンスを出した上で修正版のリリースを実施した。脆弱性の詳細は「[openssl-announce] OpenSSL Security Advisory」にまとまっている。この修正版には8つの脆弱性が含まれており、そのうち2つは重要度が高いと位置づけられているため注意が必要。

OpenSSLはさまざまなシーンで使われているが、サーバやアプリケーションの内部で利用されているため、OpenSSLが使われていることを意識しないまま使っていることがある。脆弱性の残ったままのOpenSSLを使い続けているソフトウェアはかなりの数に上ると見られており注意が必要。

OpenSSLは脆弱性「HeartBleed」が発見されて以来、複数の脆弱性が発見されている。LibreSSLはHeartBleedが発見された後にOpenBSDプロジェクトの開発者らによって取り組みが始まったプロジェクト。

OpenSSLのコードをベースにしながら不要なコードを削除し、安全ではないコードを書き換えるという活動が続けられている。これまでOpenSSLを使ってきたソフトウェアで替わりにLibreSSLを使い始めたプロジェクトがあるなど、OpenSSLの有力な代替候補の1つになってきている。

<お知らせ>
ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

求人情報