OpenSSLにサービス運用妨害(DoS)の脆弱性
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・OpenSSLの概要
・発見された脆弱性の内容
今回の解説ニュース
OpenSSLにDoSの脆弱性が発見されています。ご利用中の方は次のバージョンがリリースされたらアップデートを検討してください。発見された脆弱性の内容と、OpenSSLの概要について説明します。
今回の脆弱性は、OpenSSLでTLSv1.3セッションの処理時にメモリを多量に消費しサービス運用妨害の脆弱性が存在するというものです。影響を受けるシステムは、OpenSSL 3.2、3.1、3.0、1.1.1です。
影響として、TLSv1.3をサポートするTLSサーバが停止する可能性があります。開発元のOpenSSL Project では今後提供される次期バージョンで本脆弱性を修正予定ということです。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-2511」で検索してみてください。
OpenSSLの概要
OpenSSLは、インターネット上の通信を安全に守るために、暗号化、認証、データの完全性保護などの機能を提供するオープンソースのライブラリです。Webサーバー、Webブラウザ、メールソフト、VPNなど、様々な環境で幅広い用途に使われています。
例えば、インターネットで買い物や銀行取引をする時、住所や氏名、クレジットカード番号など、大切な個人情報を入力すると思います。もし、その情報が盗聴されてしまったら、情報漏洩のインシデントとなってしまうので、それを防ぐために、OpenSSLが活用されることになります。
具体的には、送信するデータを暗号化し、通信を盗聴されても解読できないようにします。また、データを送信する通信先を認証し、相手が偽者になりすまして情報を盗み取ろうとすることから防ぎます。さらに、送信するデータへ署名をすることで、途中で改ざんされていないことを確認することも可能です。
このように、様々な脅威から送信するデータを守るために、幅広い用途でOpenSSLが活用されています。