OpenSSL の脆弱性 (CVE-2019-1559) について
最終更新: 2019-02-27
2019年2月26日 (米国時間)、OpenSSL Project から OpenSSL の脆弱性 (CVE-2019-1559) に関する情報[1]が公開されました。OpenSSL Project は、本脆弱性の重要度を中 (Moderate) と評価しています。公開された情報によると、OpenSSL にはパディングオラクル攻撃が可能な脆弱性があり、悪用されると、遠隔の第三者が通信情報を窃取する可能性があるとされています。なお、研究者から本脆弱性に関する情報[2]が公開されています。
本脆弱性の影響を受けるバージョンは次のとおりです。
- OpenSSL 1.0.2 から 1.0.2q まで
OpenSSL Project によると OpenSSL 1.0.2r にて本脆弱性を修正済みとのことです。なお、OpenSSL 1.1.1、1.1.0 を使用している場合や暗号スイートに認証暗号 (AEAD) を使用している場合には、本脆弱性の影響を受けないとのことです。
また、OpenSSL Project によると、OpenSSL 1.0.2 は 2019年12月31日に、OpenSSL 1.1.0 は 2019年9月11日にサポートを終了するため、OpenSSL 1.1.1 にアップデートすることが推奨されています。
なお、暗号設定に関するガイドラインとして、CRYPTREC より「SSL/TLS 暗号設定ガイドライン」が提供されており、暗号スイートの設定などに関する情報[3]が公開されています。
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
[参考情報]
[1]
OpenSSL Project
OpenSSL Security Advisory [26 February 2019]
https://www.openssl.org/news/secadv/20190226.txt
[2]
Juraj Somorovsky
TLS Padding Oracles
https://github.com/RUB-NDS/TLS-Padding-Oracles
[3]
CRYPTREC
SSL/TLS 暗号設定ガイドライン
https://www.cryptrec.go.jp/report/cryptrec-gl-3001-2.0.pdf
Topへ