OpenSSL に中間者攻撃の脆弱性

OpenSSL に中間者攻撃の脆弱性

OpenSSL に中間者攻撃(man-in-the-middle attack)の脆弱性があるとして IPA が alert を出しているようです。

「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051):IPA 独立行政法人 情報処理推進機構

中間者攻撃は通信経路に攻撃者が割り込む必要があり(脅威としては大きいものの)実現可能性としては低いのですが(今回も CVSS 基本値で 4.0 で「警告」レベル), IPA は OpenSSL が広く使われているソフトウェアであることから alert に踏み切ったようです。また OpenSSL は Heartbleed 脆弱性以来ソフトウェアの精査が行われているのですが,多くの脆弱性や欠陥があると言われており,今後とも注意が必要だと思います。

はっきり言ってユーザ側で取れる対策はありません。アプリケーションについてはアップデート情報に注意して下さい(Android 版の Chrome はアップデートが出てるらしいです)。

元職業エンジニア。現在は無期休業中 Home: https://baldanders.info