OpenSSLでメモリ内容を外部から読み取られる脆弱性が発見される

あるAnonymous Coward 曰く、　OpenSSL 1.0.1および1.0.2 betaで、外部からOpenSSLが使用しているメモリの内容を読めてしまうという深刻なバグが見つかった（TechCrunch、slashdot、解説サイト）。

　これにより、通信に使用される秘密鍵や利用者のユーザー名/パスワード、暗号化によって保護されるはずのコンテンツなどが閲覧できてしまう可能性がある。

　このバグはTLS heartbeat機能のバウンドチェック処理の欠如によるもので、接続したクライアントもしくはサーバーから64KB単位でメモリの内容を取得できてしまうという。この攻撃は繰り返し実行でき、かつログなどにはその痕跡が残らないとのこと。悪用された場合秘密鍵など重要なデータが大量に盗み出される恐れがあるとのことだ。

　バグは2011年以来存在しており、4月8日に初めて公表された。該当するバージョンのOpenSSLを使用しているDebian WheezyやUbuntu 12.04.4、Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4、NetBSD 5.0.2およびこれら以降のリリースはすべて攻撃される恐れがあるという。OpenSSL 0.9.8を利用しているDebian Squeeze vintageはこの脆弱性に該当しない。

　Open SSLはこの脆弱性を修正した1.0.1gをリリースしており、Debianの修正も近くリリース予定とのこと。Fedoraの修正はまだであるが 脆弱性回避用のパッチが提供されているとのことだ。

　スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

　関連ストーリー：
2月上旬に発覚したIE9/10に対するゼロデイ攻撃、日本で多発 2014年02月28日
Windows向けのセキュリティ強化ツール「EMET」を迂回するテクニックが発見される 2014年02月26日
SSL3.0/TLS1.0 に脆弱性 2011年09月29日