セキュリティの
学び場

今回の解説ニュース

OpenSSLにDoSの脆弱性が発見されています。ご利用中の方は次のバージョンがリリースされたらアップデートを検討してください。発見された脆弱性の内容と、OpenSSLの概要について説明します。

今回の脆弱性は、OpenSSLでTLSv1.3セッションの処理時にメモリを多量に消費しサービス運用妨害の脆弱性が存在するというものです。影響を受けるシステムは、OpenSSL 3.2、3.1、3.0、1.1.1です。

影響として、TLSv1.3をサポートするTLSサーバが停止する可能性があります。開発元のOpenSSL Project では今後提供される次期バージョンで本脆弱性を修正予定ということです。脆弱性の詳細は、本脆弱性に割り当てられたCVE番号「CVE-2024-2511」で検索してみてください。

OpenSSLの概要

OpenSSLは、インターネット上の通信を安全に守るために、暗号化、認証、データの完全性保護などの機能を提供するオープンソースのライブラリです。Webサーバー、Webブラウザ、メールソフト、VPNなど、様々な環境で幅広い用途に使われています。

例えば、インターネットで買い物や銀行取引をする時、住所や氏名、クレジットカード番号など、大切な個人情報を入力すると思います。もし、その情報が盗聴されてしまったら、情報漏洩のインシデントとなってしまうので、それを防ぐために、OpenSSLが活用されることになります。

具体的には、送信するデータを暗号化し、通信を盗聴されても解読できないようにします。また、データを送信する通信先を認証し、相手が偽者になりすまして情報を盗み取ろうとすることから防ぎます。さらに、送信するデータへ署名をすることで、途中で改ざんされていないことを確認することも可能です。

このように、様々な脅威から送信するデータを守るために、幅広い用途でOpenSSLが活用されています。

発見された脆弱性の内容

DoSの脆弱性が攻撃されると、サーバのリソースが大量に消費され、システムが停止される可能性があります。

DoSとは、Denial of Serviceの略で、サービス運用妨害とも訳される脆弱性の一つです。DoSの被害を受けたサーバーは多くのリソースを攻撃の対処へ割くことになり、著しくパフォーマンスが低下したり、最終的にはシステムがダウンしてしまう可能性があります。

今回の脆弱性が攻撃されると、サーバのメモリを多量に消費して、サービス運用妨害状態となる可能性があるということです。ただし、データを保護するOpenSSLの機能自体には影響がないため、開発元も緊急では修正プログラムを提供していないことが考えられます。