[新製品・サービス]

JPCERT/CC、OpenSSLの脆弱性に関するベンダー各社の情報集約ページを開設

2014年4月11日(金)IT Leaders編集部

SSL/TLS暗号化プロトコルのオープンソース実装であるOpenSSLの「heartbeat」拡張において情報漏洩の脆弱性が発見され、インターネット業界を騒然とさせている(通称:Heartbleed脆弱性)。セキュリティ情報組織のJPCERTコーディネーションセンター(JPCERT/CC)は2014年4月11日、同脆弱性に関するベンダー各社の情報集約ページを開設し、対象ユーザーへの注意を呼びかけている。

 OpenSSLのheartbeat拡張は2012年12月に追加された拡張機能で、同月以降に配布されたOpenSSLの全バージョンに実装されている(OpenSSL 1.0.1~1.0.1f、OpenSSL 1.0.2-beta~1.0.2-beta1)。今回発見された脆弱性は、TLSおよびDTLS通信において 、OpenSSLのコードを実行しているプロセスのメモリ内容を通信相手に漏洩することを可能にするものである。

攻撃者は、この脆弱性を悪用して細工されたパケットを送付することで、ターゲットのシステムのメモリ内の情報を閲覧したり、秘密鍵などの重要な情報を取得したりすることが可能になる。JPCERT/CCは、企業や個人が管理するシステムにおいて該当するバージョンのOpenSSLを使用している場合は、OpenSSLプロジェクトが提供する修正済みのバージョンへアップデートするよう促している。

今回、JPCERT/CCが公開したページでは、国内のベンダーIT各社による告知・注意喚起情報のURLが一覧できるようになっている。4月11日午後5時時点で、日本マイクロソフトとインターネットイニシアティブ(IIJ)の告知ページのURLが掲載されている。

JPCERT/CCが公開している、OpenSSLの脆弱性に関するベンダー各社の情報集約ページ
関連キーワード

OpenSSL / サイバー攻撃

関連記事

JPCERT/CC、OpenSSLの脆弱性に関するベンダー各社の情報集約ページを開設SSL/TLS暗号化プロトコルのオープンソース実装であるOpenSSLの「heartbeat」拡張において情報漏洩の脆弱性が発見され、インターネット業界を騒然とさせている(通称:Heartbleed脆弱性)。セキュリティ情報組織のJPCERTコーディネーションセンター(JPCERT/CC)は2014年4月11日、同脆弱性に関するベンダー各社の情報集約ページを開設し、対象ユーザーへの注意を呼びかけている。

PAGE TOP