OpenSSLの脆弱性「DROWN」、LibreSSLは影響なし

3月1日(オランダ時間)、OpenBSD journalに掲載された記事「LibreSSL not affected by DROWN attack」が、LibreSSLは同日公開されたOpenSSLの脆弱性「CVE-2016-0800: Cross-protocol attack on TLS using SSLv2」(通称：DROWN)の影響を受けないと伝えた。LibreSSLからはすでに該当するコードが削除されている。

また同記事は、同日に公開されたOpenSSLの脆弱性のうち「CVE-2016-0702: Side channel attack on modular exponentiation」(通称：CacheBleed)に関してはLibreSSLも多少の影響を受けるとしている。ただし、CacheBleedの影響はローカルに限定されるほか、LibreSSLの開発元であるOpenBSDにおいてはさまざまなセキュリティ機能が動作するためCacheBleedを悪用することは難しいだろうと指摘している。

OpenSSLプロジェクトは3月1日(協定世界時)に脆弱性を修正したバージョンをリリースすると事前にアナウンスを出した上で修正版のリリースを実施した。脆弱性の詳細は「[openssl-announce] OpenSSL Security Advisory」にまとまっている。この修正版には8つの脆弱性が含まれており、そのうち2つは重要度が高いと位置づけられているため注意が必要。

OpenSSLはさまざまなシーンで使われているが、サーバやアプリケーションの内部で利用されているため、OpenSSLが使われていることを意識しないまま使っていることがある。脆弱性の残ったままのOpenSSLを使い続けているソフトウェアはかなりの数に上ると見られており注意が必要。

OpenSSLは脆弱性「HeartBleed」が発見されて以来、複数の脆弱性が発見されている。LibreSSLはHeartBleedが発見された後にOpenBSDプロジェクトの開発者らによって取り組みが始まったプロジェクト。

OpenSSLのコードをベースにしながら不要なコードを削除し、安全ではないコードを書き換えるという活動が続けられている。これまでOpenSSLを使ってきたソフトウェアで替わりにLibreSSLを使い始めたプロジェクトがあるなど、OpenSSLの有力な代替候補の1つになってきている。