OpenSSL Projectは5日、OpenSSLについての、6件の脆弱性情報を公表しました。そのうち1件(SSL/TLS MITM vulnerability :CVE-2014-0224)は、攻撃は難しいながら成功した場合の影響が大きいということで、特に注意が呼びかけられています。これは4月に公表された「Heartbleed OpenSSL Vulnerability」とは別の脆弱性となります。

■「SSL/TLS MITM vulnerability」の内容
サーバとクライアントが以下の組み合わせの場合に、通信途中に第三者が介在して通信内容を傍受したり改ざんしたりする「中間者攻撃」が可能になります。

【サーバ側】
OpenSSL 1.0.1 系列のうち OpenSSL 1.0.1g およびそれ以前
【クライアント側】
OpenSSL 1.0.1 系列のうち 1.0.1g およびそれ以前
OpenSSL 1.0.0 系列のうち 1.0.0l およびそれ以前
OpenSSL 0.9.8 系列のうち 0.9.8y およびそれ以前

サーバのみに脆弱性がある場合、クライアントの偽装攻撃が行われる恐れがあります。

■対策方法
OpenSSLを、脆弱性を解決したバージョンにアップデートしてください。

以下のバージョンが修正済みバージョンとなります。
「SSL/TLS MITM vulnerability」以外の5件についても修正されています。
1.0.1h
1.0.0m
0.9.8za
Linuxディストリビューションの配布パッケージでは、OpenSSLのバージョンを変えずに独自に修正を行っていることがあります。

CentOSの場合、以下のバージョンは修正済みです。
1.0.1e-16.el6_5.14
0.9.8e-27.el5_10.3
具体的な対策につきましては、サーバ管理者またはサーバ管理会社にお問い合わせください。

■参考
※この脆弱性につきまして、詳しくは、以下のサイトをご確認ください。

OpenSSL Project: SSL/TLS MITM vulnerability (CVE-2014-0224)
JPCERT/CC:JVN#61247051: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
IPA: 「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)