OpenSSL の脆弱性 (CVE-2018-0732) について
最終更新: 2018-06-13
2018年6月12日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性 (CVE-2018-0732) についての情報が公開されました。
OpenSSL Project
OpenSSL Security Advisory [12 June 2018]
https://www.openssl.org/news/secadv/20180612.txt
OpenSSL には TLS ハンドシェイクを行う過程で鍵生成をする際に、長時間応答しなくなる過大なパラメータを送れてしまう、パラメータ検証不備の脆弱性があります。悪用されると、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。
- CVE-2018-0732
重要度: 低 (Low)
脆弱性が存在するバージョン: OpenSSL 1.1.0 系列, OpenSSL 1.0.2 系列
OpenSSL Project によると OpenSSL 1.1.0i および OpenSSL 1.0.2p にて本脆弱性を修正する予定とのことです。ただし、ソースコードの修正は進められており、 github 上のリポジトリにてパッチが公開されています。
- OpenSSL 1.1.0 用
https://github.com/openssl/openssl/commit/ea7abeeab
- OpenSSL 1.0.2 用
https://github.com/openssl/openssl/commit/3984ef0b7
OpenSSL Project からの情報を参考に、アップデートなど必要な対策を検討してください。
今回の件について、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ