BT

SSLの重大な脆弱性がOpenSSLとHTTPSサーバのトラフィックに影響

| 作者: Jeff Martin フォローする 17 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2016年3月28日. 推定読書時間: 3 分 |

原文(投稿日:2016/03/02)へのリンク

2つの独立したセキュリティ研究グループが,インターネットアプリケーションで広く利用されているOpenSSL暗号化ライブラリの中にある,2つの重大な欠陥をそれぞれ新たに発表した。OpenSSLを使用しているシステム(Linux, Mac OS XなどUNIXベースのシステムが主だが,限定はされない)の管理者はパッチを確認し,可能な限り早急に適用すべきだ。さらに,SSLの利用はあくまでも攻撃の起点に過ぎないので,OpenSSLを使用していないサーバでもリスクと無縁ではない点にも注意が必要だ。

第1の欠陥は,“Decrypting RSA with Obsolete and Weakened eNcryption”の意味からDROWNと命名された。学界と企業双方の研究者により,詳細な調査報告が公開されている。その報告書によると,安全でないSSLv2プロトコルが存在することにより,HTTPSを使用する約1,150万台のサーバに脆弱性が発生する可能性がある。ここでの脆弱性は,“SSLv2を直接提供していないHTTPSサーバの多くが,他のサービスとRSA鍵を共有している”ことによるものだ。DROWNチームが用いた特殊な手段を使えば,“RSA鍵をSSLv2に使用する任意のTLSサーバが受動的に収集したRSA鍵交換を ... 別のサーバ上でも”,GPUクラスタを占有すれば18時間程度で,Amazon EC2インスタンスならば8時間以内に破ることができる(推測時間は2048bit RSA暗号文に基づく)。

しかも,DROWN攻撃アプリケーションがOpenSSL内のある欠陥を利用すれば,シングルコアのマシン上でも復号化を十分な速さで実行できるため,“ハンドシェイクがタイムアウトする前の実行中のTLSセッションに介入者(man-in-the-middle)攻撃を行なうことにより,RSA暗号以外のスイートを使用しているサーバへのコネクションを,最新鋭のTLSクライアントからRSA鍵交換にダウングレードさせることでさえ”可能だという(強調部分筆者)。

これでもまだ不十分というように,OpenSSLに影響する第2の欠陥が,まったく別の研究グループによって発表された。CacheBleedと呼ばれるこの欠陥は,“Intelプロセッサ内のキャッシュバンク競合を通じた情報漏えいを利用する,いわゆるサイドチャネル攻撃”である。この問題は,“一般的には信頼性の低いワークロードを手動で実行するクラウドサーバ”に影響するもので,CPUのハイパースレッディングを無効にすれば緩和することができる。同チームでは現在,少なくともすべてのSandy Bridgeプロセッサ,可能性としてはNehalemとCore 2などの旧アーキテクチャに脆弱性が存在するという見解を持っている。Intel Haswellベースのシステムへの攻撃は,現時点では無効だと考えられる。

OpenBSDグループによるOpenSSLフォークであるLibreSSLを使用するシステム構成には,DROWN攻撃に対する脆弱性は存在しないが,特定の環境下において,攻撃者がローカルアクセス権を所有している場合には,CacheBleed脆弱性を実行できる可能性がある。DROWNはSSL利用を対象としているので,その影響はOpenSSLを利用する場合に限定されない。IISを運用しているシステム管理者であっても,自身の構成設定を再確認する必要がある。

 
 

この記事を評価

関連性
形式
 
 

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

特集コンテンツ一覧

C# 8の非同期ストリーム

Bassam Alugili 2018年10月11日 午前3時13分

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT